容器 无服务器 虚拟机 安全性差在何处?
发布时间:2022-05-20 09:49:30 所属栏目:安全 来源:互联网
导读:就在30多年前,虚拟化仅适用于拥有大型机和大型小型计算机的用户,而安全问题仅仅存在于物理计算机中;20年前,VMware发布了其第一款产品,网络边界安全性仍处于起步阶段,依赖于防火墙;12年前,AWS推出,网络安全成为一个问题;5年前,由于Docker容器成为主流
|
就在30多年前,虚拟化仅适用于拥有大型机和大型小型计算机的用户,而安全问题仅仅存在于物理计算机中;20年前,VMware发布了其第一款产品,网络边界安全性仍处于起步阶段,依赖于防火墙;12年前,AWS推出,网络安全成为一个问题;5年前,由于Docker容器成为主流,主机安全成为焦点。今天,随着无服务器安全性的增长,应用程序级安全性终于受到计算和网络层的挑战。 容器的安全性 从本质上讲,无服务器应用程序通常在后台运行在容器中,因此容器将承载与无服务器相同的所有问题,以及容器为开发人员提供的附加功能的新问题。特定于容器的安全问题可以简化为两个不同的区域:基于部署的容器的源的可信度,以及容器对主机操作系统的访问级别。 在任何主机(无论是Windows还是Linux)上运行容器时,不应使用root或管理员权限运行容器。使用命名空间和卷等功能而不是原始磁盘访问允许这些容器守护程序在一个或多个容器之间共享存储以获取持久数据,而不需要容器本身具有升级的权限。甚至还有一些项目,例如谷歌的gVisor,它们更进一步,隐藏了除容器需要运行的确切系统调用之外的所有项目。 对容器的更大关注是构建容器的层的可信度。有多种方法可以解决这个问题。它们包括指向您已经测试并确定的特定版本,而不是依赖于最新的标记。您还可以扩展针对无服务器应用程序中的第三方库所进行的任何扫描范围,以便扫描整个容器以查找已知漏洞。此扫描可以在源注册表中提前执行,也可以在构建过程中执行,因为可以将它们用作构建的基础。 虚拟机安全 虚拟机是另一个需要解决的问题的集合。一种改进upis的方法是将运行服务限制为绝对需要的服务。例如,默认的HTTP服务器很适合查看日志,但是当应用程序在Java中运行时,可以看到是否需要可用的产品,哪些产品可以通过SSH连接并集中整合日志;另一种选择是在发布后尽快应用补丁,一些补丁每月发布,包括微软的“ 补丁星期二 ”,而其他更关键的补丁在有可用修复的那天发布(这些被称为带外补丁)。与容器和无服务器不同,在完整虚拟机上需要应用任何给定补丁的几率要高得多,因为需要和安装的软件包要多得多。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐