为何InfoSec团队应该拥抱容器？

每当一项新的软件技术出现，InfoSec团队都会有点焦虑。理由是他们的工做是评估和下降风险——而新软件引入了一些未知变量，这些变量等同于企业的额外风险。对新的、不断演进的和复杂的技术作出判断是一项艰难的工做，这些团队克服重重疑虑接受未知的新技术值得赞扬。

这篇文章旨在呼吁世界范围内的InfoSec人士对容器的出现持乐观态度。有些人认为容器=不安全，其实，容器在安全性方面反而具备先天的优点：

不变性

在一个典型的生产环境中，你的服务器上有一系列的管理状态，包括系统镜像、配置管理（CM）和部署工具。 系统的最终状态是很是动态的（特别是对于CM工具），库和包每每基于各类runtime变量。如下是一些可能会出现问题的例子：

• 你在你的主机上运行的 openssl 版本可能会因你使用的操做系统而异，你的 rhel 6 主机可能有一个版本，而使用不一样补丁版本的Ubuntu主机则有不一样的版本。即便是这些细微的差别也能够产生明显的影响，并致使近期的OpenSSL漏洞（如Heartbleed）。
• 若是你没有不一样的操做系统，那么若是你在一个特定的主机上运行的CM工具遇到了一个bug，而且在它可以确保包版本(假设你已经定义了显式版本!)以前，会发生什么？如今的状况是，一个过期的软件包在被注意到以前将会一直存在在系统中。在小环境下, 在CM成功运行中, 你可能有一个良好的脉冲, 但在有着数以千计的主机的复杂的大环境中，由于你不了解或者没法解决这些问题，将会有一些主机, 你没法保证它们的一致性。在此环境中，这种缺乏肯定性的状态会致使对库存和 CVE扫描技术的需求。

这就是容器提供的额外优点。因为容器镜像的不可变性，我能够在部署以前了解runtime的状态。这为我提供了一个点来检查和理解runtime状态。在构建过程当中对已知的CVE和其余漏洞进行一次扫描，并在部署以前捕获风险，这比不断地对系统中部署的每一个运行库进行清点要容易得多。

隔离

使用容器，Linux 内核被设计为在主机上的容器之间提供隔离。它容许每一个进程与其相邻的进程具备不一样的runtime。对于InfoSec而言，若是应用程序受到威胁，这将下降攻击向量对系统其余部分的影响。虽然这种划分不严密，但目前尚未一个真正安全的机制。

开发人员和应用团队易于上手

最后，还有一个缘由应该能吸引InfoSec，由于开发人员和应用团队共享的优点，比起仅使用安全性的工具，你能够更容易得到上述全部优势。没有一个安全组织可以在真空中运做，即便是最安全的组织也须要平衡控制和生产率。可是，当你的解决方案同时知足这两个要求时，采用容器并证实所需资源的阻力很是小。尽管这听起来彷佛是一个不该该存在的悖论，但在某种程度上能够提升灵活性和容器的安全性。

结论

我但愿这篇文章中的观点，能鼓励你进一步探索和了解一下容器技术能如何提升组织机构IT系统的安全性，若你的团队能（哪怕只是在内部）讨论一下是否可将容器技术用于生产环境，那就更好不过了。一如既往地，Rancher团队将助你开启你的容器之旅——加入官方微信交流群与咱们联系，在Rancher Blog上查看更多技术文章；若是你准备好与咱们展开更详细的讨论，还能够在官网上预定一次demo。

---

9月27日，北京海航万豪酒店，容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐！

11家已容器落地企业，15位真·云计算大咖，13场纯·技术演讲，结合实战场景，聚焦落地经验。免费参会+超高规格，详细议程及注册连接请戳