邁向Container時代的保安隱憂

隨著消費者追求不斷創新的應用和服務,企業為迎合市場需求,加快產品服務推出市場的速度,亦不得不重新思考應用程式的開發和部署。傳統開發模式需時甚久,令愈來愈多開發人員將軟件開發和操作,整合到單一的統一功能DevOps之中。

DevOps帶來了持續整合(continuous integration,CI),和持續開發(continuous Development,CD)的概念,這意味著開發者可持續對應用進行小的增量更改,與傳統的瀑布開發方式(waterfall methodology)成鮮明對比。但與此同時,DevOps的普及亦令人們重新思考如何部署軟件。有別過往慣用的過時虛擬化模型,一種稱為Container的技術,通過允許多個隔離應用程式共用單一操作系統實例,從而達致更有效地運用硬件資源。

Container共享資源加速開發

Container技術在啟用快速應用程式部署,和遷移到雲端的能力方面,均具有革命性的優勢。它不僅減少了部署所需的資源,而且可以在數秒鐘內,將其上線或快速刪除。Container更允許應用程式和處理程序,在跨雲平台上持續部署,這有助於企業更快速地落實雲運算服務。

Tenable亞太區技術總監Dick Bussiere闡釋:「現時的軟件定義基礎設施(software defined infrastructure,SDI),演進成可在大型運算基礎設施上,配置和自動部署服務,而採用Container來開發的應用,正是成功的要訣之一。與虛擬機器不同,Container可共享操作系統,僅使用運行託管應用所需的資源,從而提高效率。換句話說,一個服務器上可同時運行數百個Container,節省了大量寶貴的數據中心預算。」

安全隱憂或成阻礙

不過Bussiere亦指出,Container並非毫無弊病,安全性與風險正是其一。由於傳統的虛擬機器通常運行數週,較容易在每週或每月掃描和修補週期中,發現安全問題。但Container可能僅運作數分鐘便完成任務,定期掃描這方法根本起不了防護作用。除此之外,由於這些工具所需的服務,不存在於Container圖像之中,因此無法使用傳統的漏洞評估工具掃描Container。這意味著企業必須實施新的漏洞評估方法。

DevOps團隊往往專注於速度而非安全性。如Docker便允許用戶從公共存儲庫中,提取預先構建的映像。此做法雖然效率高,但可能會將網絡暴露於未知的威脅和漏洞。Tenable 2017年的全球網絡保安保證報告卡(Global Cybersecurity Assurance Report Card)便發現,保安團隊對其機構降低風險的能力,相當缺乏信心;其中,Container平台(52%)和DevOps環境(57%)均獲得了劣等評級。

Bussiere認為,應將保安融入至DevOps的創新周期之中。他指傳統的保安手法先是設計用於實體伺服器,繼而採用到虛擬機器,自然無法應付現今的動態IT環境。

「漏洞掃描須整合到DevOps的創新周期之中,即每個Container必須在建立之前,和運作過程中進行掃描。這樣做將確保在所有Container的整個生命週期中,均會進行漏洞及惡意軟件偵測。」

Leave a Reply

Your email address will not be published. Required fields are marked *