Aqua Security专注于保护容器的运行环境

只有在从开发到生产的过程中集成了严密的安全措施,容器才能成功。

为了对容器的好处表示认可,金融服务巨头高盛集团宣布,它正在进行一项为期一年的计划,将其90%的软件转移到容器中。这一转变涉及大约5000个应用程序以及公司的软件基础设施。

Aqua Security专注于保护容器的运行环境

Aqua Security专注于保护容器的运行环境

正如《华尔街日报》报道的那样,高盛技术部门的联席主管Don Duet说,此举将为他的公司创造更好的软件环境。8000多名软件开发人员可以专注于创造新产品和工具,与此同时运行流程会进行自动化,从而减少了劳动力和基础设施的成本。此外,容器的使用将为包装和分发不同类型的软件制定标准。

我要指出的是,高盛对Docker inc.的金融投资在今天的容器市场中占据主导地位。因此,如果该投资公司向Docker容器的迁移证明是成功的,该公司预计将在两方面赢得胜利:一个更好的软件开发过程,以及如果Docker的财富增加,它的投资会得到回报。

当高盛一头扎进容器时,很多其他的公司,包括一些像纽约梅隆银行这样的大企业,都在用自己的项目来测试水域。他们采取了谨慎的方法,因为容器在安全方面存在一些固有的弱点。像Docker和CoreOS这样的容器公司正在改进其开发套件的安全工具,但就安全方面而言,仍有改进的余地。

与传统的软件环境打交道时,容器的安全性面临一些挑战,这些挑战通常是不相关的。与虚拟机实现相比,容器环境可以有20x到30x的要跟踪的项数。此外,容器是短暂的,因为它们可能用不了多久。他们可以加速运行,做他们所做的,停下来,然后就消失。所有这些都创造了一个需要严格监督的环境。

另一方面是在Linux中共享内核上运行的容器。具有讽刺意味的是,使容器如此有用的正是许多安全问题的起因。因为它们运行在一个共享的内核上,它们实际上依赖主机操作系统提供一些基本的安全服务,这就产生了两个问题。一个问题是,Linux并不是在考虑这种多租户的情况下创建的;它只是针对容器进行了修改。另一个问题是Linux版本和发行版的变化,这导致了主机OS的安全等级有所不同。

第三个安全因素来自于使容器变得如此巨大的事物之一:发展的速度非常快。在传统的应用程序开发环境中,软件更新可能会在一年里出现两三次。对于容器,更新实际上是连续的。这就需要从开发人员在运行时始终对其进行严格的控制。

一家致力于解决这些问题的公司是Aqua Security(原名Scalock),该公司于今年5月由长期安全行业资深人士推出。该公司的Aqua容器安全平台以一个连续统一的方式管理软件开发过程,从开发到登台,再到运行和生产阶段。最终的目标是在生产过程中保护容器。Aqua在过程中所做的一切都是为了达到这一目标而设计的。

Aqua平台完全可以运行在场所或者云中,它有两个主要组件。

Aqua控制台是管理系统设置的管理部分。它与注册中心集成图像;使用Active Directory和LDAP进行用户身份验证和身份管理;以及持续集成和持续交付(CI/CD)工具在整个生命周期中管理事务。在后台,控制台与SIEM解决方案集成,以便事件日志可以被拉入中央控制台。Aqua控制台还管理Aqua代理,它是该平台的另一个主要组件。

Aqua代理本身就是特权容器,它们被安装在需要保护的主机上。每个容器引擎都安装了一个代理。Aqua容器将强制策略应用到其他容器上,并向控制台报告所有活动。

Aqua控制台和代理是由Aqua的容器网络情报服务补充的,该服务基本上是用于更新和绘制与容器相关的各种漏洞的地图。Aqua实现了对它的自动策略的研究,以获得最新的保护。

这些组件被认为是形成了一个多层次的安全模型。第一层保护包括图像保证,以及用户身份验证和授权。Aqua获得了公共和私有注册中心的每一个图像以及运行在生产环境中的容器的可见性。他们使用静态和动态扫描来扫描已知的漏洞和恶意软件,然后Aqua将其转化为在持续集成阶段实施的策略。未经批准的图像被阻止运行。

Aqua在容器级别和用户角色上强制使用细粒度访问控制。这决定了哪些用户可以访问哪些容器,以及这些用户可以做什么。Aqua还在容器上执行政策,以控制容器是什么和不允许做什么,以及什么类型的事情会触发警报或预防措施。

另一层安全性涉及到主机硬化。Aqua通过强制和限制命名空间、访问根目录以及访问容器环境不需要的系统调用来增加价值。

除此之外,容器活动锁定,在这种情况下,Aqua应用最小特权原则来访问操作系统和网络资源。由于同一主机上的容器彼此都不知道,所以Aqua强制执行运行时参数来确保容器保持隔离,并且不能相互阻止容器的运行。

最重要的是,Aqua还提供了入侵预防/检测功能。系统会监视容器的恶意行为。有一层自动化学习和行为策略可用于查看容器要进行的操作。如果此活动被认为是恶意的,或者正在做一些滥用主机资源的事情——例如,占用更多的内存或者CPU,那么Aqua就可以对此采取行动。有些行为被认为是恶意的,与虑容器的策略集无关。在正常情况下,容器不会执行这些操作,所以可以停止容器。Aqua还可以阻止权限升级的尝试。

在构建这个安全解决方案时,Aqua主要关注运行时保护,因此系统所做的所有事情都能够支持并实现这一点。而且在策略创建和与DevOps流程集成以自动方式触发各种事件的能力方面,也存在着高度自动化。

容器是目前数据中心技术中最热门的趋势之一,必须将安全性纳入整个过程。

这篇文章是由lunarpages主机中文导航(http://lunarpages.cn/)提供的,专业提供服务器托管、云服务器、lunarpages主机等相关主机技术、最新资讯。

Add Comment

Required fields are marked *. Your email address will not be published.