Gartner公司建议具有安全意识的机构转换为基于容器的应用程序交付模式,并表示该技术比在操作系统上运行的应用程序要更安全。
Gartner分析师,Jeorg Fritsch在它的博客网上表示,“Gartner认为在容器内部署应用程序比在操作系统上部署应用程序的安全系数要高。情况就是这样,即使容器以某种方式遭到攻击,“它们也极大地限制了攻击的危害,因为应用程序和用户被隔离在一个容器内,它们无法攻击其它容器或主机操作系统。”
当然,Gartner承认容器远未达到防篡改的程度。Fristch在他贴出的博文中承认,容器都背负着“与生俱来的安全特性,这使得它们极易受到内核特权提升攻击”,这也意味着它们是“高风险保证隔离的最佳工具”。
就算如此,Fristch认为,如果企业遵循“容器优先”方案并且“不管是做CI/CD/DevOps,在具有最佳实践安全性的Docker容器中部署网络易受攻击(internet-exposed)的应用程序。”它们就能够充分利用Linux容器所带来的好处。
除此之外,企业还要知道,容器本身并不是一个神奇的安全解决方案。Docker容器必须正确利用它们所带来的安全优势,即强化Docker所运行的主机,并充分利用来自第三方公司的容器安全解决方案。还有,管理逻辑安全区和网络隔离,微服务路由也十分必要,这样能够安全与其它容器交互。最后,用户还要掌握内核控制以便确保他们的容器仅拥有访问主机的内核的权限。
“在Linux操作系统和容器中,每一个系统调用就是一次与内核的直接交互,” Fritsch写道。他指出这个内核是“所有隔离功能所依赖的相同内核。”