| 當(dāng)前位置：拓步ERP資訊網(wǎng) >>管理咨詢 >>CIO技術(shù)專(zhuān)欄 >>CIO信息安全

www.guhuozai8.cn拓步ERP|ERP系統(tǒng)|ERP軟件|ERP管理系統(tǒng)軟件|免費(fèi)ERP系統(tǒng)|免費(fèi)ERP軟件|免費(fèi)進(jìn)銷(xiāo)存軟件|免費(fèi)倉(cāng)庫(kù)管理軟件|免費(fèi)下載專(zhuān)業(yè)資訊網(wǎng)-如何保障虛擬化容器在應(yīng)用環(huán)境中的安全性？

如何保障虛擬化容器在應(yīng)用環(huán)境中的安全性？

發(fā)布日期：2016-5-23 14:47:48 來(lái)源：www.guhuozai8.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評(píng)論

摘要：應(yīng)用開(kāi)發(fā)中迅速增長(zhǎng)的虛擬化容器方式鞏固加深了其在生產(chǎn)環(huán)境IT管理者心目中的地位。盡管看起來(lái)與虛擬機(jī)相似，但兩者相比還是有一些核心差異，這些差異促使IT部門(mén)重新審視已有的安全策略。 原標(biāo)題：如何保障虛擬化容器在應(yīng)用環(huán)境中的安全性？ 原作者：2016/5/23 來(lái)源：TechTarget中國(guó) 作者：佚名
關(guān)鍵字：虛擬化容器 IT基礎(chǔ)設(shè)施

應(yīng)用開(kāi)發(fā)中迅速增長(zhǎng)的虛擬化容器方式鞏固加深了其在生產(chǎn)環(huán)境IT管理者心目中的地位。盡管看起來(lái)與虛擬機(jī)相似，但兩者相比還是有一些核心差異，這些差異促使IT部門(mén)重新審視已有的安全策略。

越來(lái)越多的IT部門(mén)正在被迫放棄已有的全棧虛擬機(jī)應(yīng)用部署方式。應(yīng)用運(yùn)行在大量進(jìn)程上，這些進(jìn)程需要靈活可控。而在虛擬機(jī)中，如果進(jìn)程發(fā)生變化，整個(gè)虛擬機(jī)的運(yùn)行需要更改。

虛擬機(jī)通�；趥鹘y(tǒng)的單片應(yīng)用模型，而容器則能對(duì)復(fù)合應(yīng)用模型提供更好的支持。

虛擬機(jī)具備了運(yùn)行一個(gè)應(yīng)用程序所需要的全部資源，包括應(yīng)用程序、數(shù)據(jù)庫(kù)、數(shù)據(jù)分析、虛擬化的硬件資源、BIOS以及應(yīng)用正常工作所需要的所有服務(wù)。因此，每個(gè)虛擬機(jī)都是一個(gè)完整的系統(tǒng)，而虛擬機(jī)的安全策略在本質(zhì)上與一個(gè)物理機(jī)系統(tǒng)完全相同。由于虛擬機(jī)是一個(gè)全棧系統(tǒng)，它的缺點(diǎn)是每當(dāng)啟動(dòng)一臺(tái)虛擬機(jī)，意味著啟動(dòng)BIOS，接著啟動(dòng)操作系統(tǒng)，然后啟動(dòng)余下的所有相關(guān)應(yīng)用軟件。雖然這個(gè)啟動(dòng)過(guò)程基于一系列虛擬化資源，比物理機(jī)啟動(dòng)快，但是并不足以快到能瞬時(shí)啟動(dòng)，除非使用事先預(yù)置好的熱虛擬鏡像（虛擬機(jī)快照），但是這種啟動(dòng)方式需要使用額外的存儲(chǔ)資源，導(dǎo)致資源浪費(fèi)。虛擬化容器則沒(méi)有這些方面的問(wèn)題。

容器更多依賴于容器外部，而不是容器本身。盡管也是從物理層創(chuàng)建的抽象實(shí)例，但虛擬化容器以動(dòng)態(tài)的方式共享大部分資源，每個(gè)容器通過(guò)底層平臺(tái)訪問(wèn)大部分的設(shè)備。容器化概念更接近于應(yīng)用程序的使用方式，它假設(shè)BIOS和系統(tǒng)已經(jīng)運(yùn)行了，因此無(wú)需像虛擬機(jī)一樣再次啟動(dòng)。容器化技術(shù)利用共享資源創(chuàng)建了一個(gè)寬松的沙盒環(huán)境，每個(gè)容器在上面構(gòu)建函數(shù)、服務(wù)或者應(yīng)用。

在虛擬化容器中，應(yīng)用程序可以被劃分成多組容器化的功能，它們合力運(yùn)行，構(gòu)成的系統(tǒng)能夠以更加靈活多變的方式提供進(jìn)程。一個(gè)復(fù)合應(yīng)用可以由一個(gè)專(zhuān)門(mén)配置并優(yōu)化用于執(zhí)行數(shù)據(jù)分析的容器，和一個(gè)專(zhuān)用的數(shù)據(jù)庫(kù)或者應(yīng)用邏輯協(xié)同組合而成。容器在這種服務(wù)鏈管理方面優(yōu)于虛擬機(jī)，因?yàn)樗谝粋€(gè)共享平臺(tái)工作，在使用共享的功能、設(shè)備方面比虛擬機(jī)更有效率。

更高的靈活性意味著需要更多的安全性

盡管容器的使用增加了整體的靈活性，它也引入了額外的管理需求以及安全問(wèn)題。在虛擬機(jī)中，所有組件都在同一個(gè)地方，虛擬機(jī)可以作為一個(gè)獨(dú)立實(shí)體進(jìn)行管理和安全防護(hù)。與此不同的是，對(duì)于基于容器的應(yīng)用，組成應(yīng)用的一系列功能都是松耦合在一起，因此需要對(duì)每一個(gè)分別進(jìn)行管理和安全防護(hù)。

如果底層平臺(tái)的安全防護(hù)不到位，那么在其基礎(chǔ)上搭建的所有容器的安全都得不到保證。反過(guò)來(lái)的情況也是一樣。我們假設(shè)一個(gè)容器鏡像擁有完整的超級(jí)用戶權(quán)限。因?yàn)槿萜餍枰掷m(xù)地跟底層平臺(tái)交互，一個(gè)有權(quán)限訪問(wèn)容器的入侵者，理論上就可以通過(guò)容器化環(huán)境攻破底層平臺(tái)，從而獲得底層平臺(tái)的訪問(wèn)權(quán)限。

盡管前面描述的情況聽(tīng)起來(lái)像是一個(gè)非常嚴(yán)重的設(shè)計(jì)缺陷，但這是容器運(yùn)行的必要條件，也是其核心特點(diǎn)，正是這個(gè)特點(diǎn)使得容器能夠比虛擬機(jī)提供給開(kāi)發(fā)人員更多的功能提升潛力，吸引了大量產(chǎn)品開(kāi)發(fā)的關(guān)注。生產(chǎn)環(huán)境IT系統(tǒng)選擇采用容器技術(shù)需要確保兩個(gè)關(guān)鍵問(wèn)題，既要能保證容器自身內(nèi)部的安全性，又要能保證容器化環(huán)境創(chuàng)建方式的安全性。

保證虛擬化容器的安全性必然是任何使用容器的群體的高優(yōu)先級(jí)任務(wù)。在可能的情況下，通過(guò)使用各自的命名空間來(lái)隔離容器。為每個(gè)虛擬化容器提供獨(dú)立的網(wǎng)絡(luò)堆棧，避免任何特殊權(quán)限的訪問(wèn)能夠穿過(guò)多個(gè)不同的容器再到達(dá)物理端口。使用控制組管理資源分配和利用——這種方式加強(qiáng)了外部安全性，因?yàn)樗軌蛴兄陬A(yù)防分布式DOS攻擊。

使用虛擬化容器的一些建議

僅僅在非常必要的時(shí)候才能使用虛擬容器的增強(qiáng)權(quán)限，并且在不需要該權(quán)限時(shí)立即切換回標(biāo)準(zhǔn)權(quán)限。為以防萬(wàn)一，在不使用的時(shí)候，永遠(yuǎn)不要將權(quán)限設(shè)置為增強(qiáng)權(quán)限；每次提升權(quán)限和重置回標(biāo)準(zhǔn)權(quán)限所產(chǎn)生的額外內(nèi)部處理時(shí)延是值得的，因?yàn)檫@種做法能增強(qiáng)整個(gè)IT平臺(tái)的安全性。

嘗試用非root的權(quán)限運(yùn)行服務(wù)：如果必須使用root權(quán)限，一定要與在物理IT基礎(chǔ)設(shè)施上使用root權(quán)限一樣小心。容器并不是一個(gè)沙盒，它存在各種各樣的可與外部交互的方法。開(kāi)發(fā)者并不是在一個(gè)密封空間里面開(kāi)發(fā)，一個(gè)容器里面任何糟糕的代碼可能會(huì)對(duì)同一物理平臺(tái)上所有其他容器都產(chǎn)生嚴(yán)重的安全影響。絕大多數(shù)容器不需要root權(quán)限。大部分需要root權(quán)限的服務(wù)應(yīng)該在容器外部的更底層平臺(tái)運(yùn)行。以低權(quán)限運(yùn)行容器能夠阻止任何類(lèi)型的掛載請(qǐng)求，拒絕創(chuàng)建文件或者修改屬性，防止模塊裝載，達(dá)到保護(hù)系統(tǒng)的目的。

底層平臺(tái)對(duì)容器的安全性處理與傳統(tǒng)虛擬化不一樣，這個(gè)主要區(qū)別正是虛擬化容器的核心功能所在。對(duì)于Docker來(lái)說(shuō)，Docker后臺(tái)守護(hù)進(jìn)程（Docket Deamon）在物理平臺(tái)的root環(huán)境中擁有全部權(quán)限，并使用該權(quán)限創(chuàng)建虛擬化的容器環(huán)境。任何有權(quán)限訪問(wèn)該后臺(tái)守護(hù)進(jìn)程的用戶就能完全自由地做任何想做的事情。因此，必須只能通過(guò)專(zhuān)用的系統(tǒng)管理員權(quán)限控制方法來(lái)控制訪問(wèn)后臺(tái)守護(hù)進(jìn)程。

虛擬容器安全性也包括監(jiān)控容器如何使用API.API調(diào)用中的非常小的錯(cuò)誤有可能導(dǎo)致惡意攻擊，例如啟動(dòng)新的容器或者改變現(xiàn)有API調(diào)用，使之以很高的權(quán)限訪問(wèn)root環(huán)境。當(dāng)企業(yè)系統(tǒng)在使用容器時(shí)，需要在API監(jiān)控和管理方面做一些投入，比如采用Akana、Apigee或者CA Technologies公司的產(chǎn)品。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：如何保障虛擬化容器在應(yīng)用環(huán)境中的安全性？

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839519329.html

關(guān)鍵詞標(biāo)簽： 如何保障虛擬化容器在應(yīng)用環(huán)境中的安全性？,虛擬化容器 IT基礎(chǔ)設(shè)施,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進(jìn)銷(xiāo)存軟件,財(cái)務(wù)軟件,倉(cāng)庫(kù)管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費(fèi)ERP,免費(fèi)ERP軟件,免費(fèi)ERP系統(tǒng),ERP軟件免費(fèi)下載,ERP系統(tǒng)免費(fèi)下載,免費(fèi)ERP軟件下載,免費(fèi)進(jìn)銷(xiāo)存軟件,免費(fèi)進(jìn)銷(xiāo)存,免費(fèi)財(cái)務(wù)軟件,免費(fèi)倉(cāng)庫(kù)管理軟件,免費(fèi)下載,

本文轉(zhuǎn)自：e-works制造業(yè)信息化門(mén)戶網(wǎng)

本文來(lái)源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識(shí)、有益學(xué)習(xí)和研究的目的進(jìn)行的轉(zhuǎn)載，為網(wǎng)友免費(fèi)提供，并盡力標(biāo)明作者與出處，如有著作權(quán)人或出版方提出異議，本站將立即刪除。如果您對(duì)文章轉(zhuǎn)載有任何疑問(wèn)請(qǐng)告之我們，以便我們及時(shí)糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇：你的支付數(shù)據(jù)真的安全嗎?

下一篇：一篇文章讀懂企業(yè)如何升級(jí)到云安全體系

相關(guān)文章

管理咨詢


	ERP新聞動(dòng)態(tài) 拓步新聞行業(yè)新聞關(guān)注產(chǎn)品觀點(diǎn)縱橫企業(yè)管理企業(yè)應(yīng)用

	ERP解決方案按ERP應(yīng)用行業(yè)分類(lèi) 按ERP企業(yè)規(guī)模分類(lèi) 按ERP管理領(lǐng)域分類(lèi) 按ERP軟件功能分類(lèi) 按ERP系統(tǒng)特性分類(lèi) 用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達(dá)ERP解決方案其他ERP解決方案

	ERP顧問(wèn)咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風(fēng)險(xiǎn)分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標(biāo) ERP實(shí)施監(jiān)理 ERP評(píng)審驗(yàn)收 ERP績(jī)效評(píng)價(jià) ERP基礎(chǔ)知識(shí) ERP課程培訓(xùn) ERP培訓(xùn)教育 ERP視頻教材

	CIO技術(shù)專(zhuān)欄 CIO企業(yè)應(yīng)用 CIO網(wǎng)絡(luò)通信 CIO信息安全 CIO基礎(chǔ)設(shè)施 CIO云計(jì)算

	ERP技術(shù)支持技術(shù)支持知識(shí)庫(kù) 常見(jiàn)問(wèn)題資料庫(kù) 在線學(xué)習(xí)資料庫(kù) 日常辦公資料庫(kù) 企業(yè)管理知識(shí)庫(kù)

	ERP系統(tǒng)價(jià)格拓步ERP系統(tǒng)價(jià)格體系拓步EIS軟件價(jià)格體系合作品牌ERP價(jià)格體系技術(shù)支持服務(wù)價(jià)格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達(dá)SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術(shù)支持快速搜索ERP軟件資訊

	關(guān)于拓步公司介紹公司愿景企業(yè)文化誠(chéng)聘英才聯(lián)系我們在線留言在線訂購(gòu)意向下載體驗(yàn)登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

ERP顧問(wèn)咨詢

ERP原理知識(shí)

ERP實(shí)施培訓(xùn)

CIO技術(shù)專(zhuān)欄

CIO企業(yè)應(yīng)用

CIO網(wǎng)絡(luò)通信

CIO信息安全

CIO基礎(chǔ)設(shè)施

CIO云計(jì)算

即時(shí)聯(lián)系

服務(wù)熱線

快捷互動(dòng)