АНАЛИЗ НОВОСТЕЙ: Эксперты соглашаются, что безопасность является главной когда дело доходит до контейнеров. Все же то, как должным образом защитить контейнеры, является все еще вопросом некоторых дебатов.В мире виртуализированных контейнеров приложения безопасность является вершиной ума. В обоих событие DockerCon EU в прошлом месяце в Барселоне, Испания, а также Архитектурном Саммите на прошлой неделе в Нью-Йорке, большие новости были все связаны с безопасностью.
В то время как нет никакого дефицита контейнерных новостей о безопасности, существуют все еще некоторые дебаты о том, как должным образом защитить контейнеры.Docker Inc., ведущий коммерческий спонсор позади проекта Докера с открытым исходным кодом, объявила о многократных усилиях по безопасности в DockerCon EU, включая проектный Наутилус для сканирования образа прикладного объекта Докера. Не быть превзойденным, CoreOS, один из основных конкурентов Docker Inc. на контейнерном рынке, объявил о Распределенных Доверительных вычислениях на своем Архитектурном мероприятии Саммита.
В некотором отношении технологии, о которых объявляет CoreOS and Docker Inc. для контейнерной безопасности, подобны, хотя они проявляют разные подходы. В то время как Docker Inc. объявила о проектном Наутилусе для сканирования образов прикладного объекта, CoreOS сделал, чтобы его Клер предположил, что контейнер сканирований отображает для известных уязвимостей.Когда дело доходит до аппаратного шифрования CoreOS использует понятия Доверительных вычислений, включая использование аппаратных средств Модуля надежной платформы (TPM), чтобы создать и включить цепочку доверия для приложений-контейнеров, работающих на аппаратных средствах, которые могут быть подвергнуты аудиту и проверены. Докер также использует аппаратные средства для безопасности, но по-другому.
В DockerCon EU компания отдала флеш-карты Yubico, которые могут использоваться для подписания частных ключей шифрования для образов прикладного объекта.Существуют также некоторые дебаты о том, как контейнеры должны быть выполнены в системе. Я модерировал панель на Архитектурном Саммите, который включал Мэтью Гарретта, основного инженера защитного программного обеспечения в CoreOS; Тим Хоббс, консультант, управление продуктами в CA Technologies; и соучредитель Франка Макрири и CTO, Aptible.
Один из ключевых вопросов, я спросил панель, был, было ли это наиболее успешной практикой для выполнения контейнера в гипервизоре. Согласие от панели состояло в том, что, сегодня, для получения лучшей изоляции и управления безопасностью, использование гипервизора является хорошей наиболее успешной практикой. Это – модель, что CoreOS охватывает также с его ракетой (rkt) контейнерный механизм, который объединяется с Ясной технологией Контейнеров Intel. Прозрачные Контейнеры являются гипервизором виртуализации, который был специальным для рабочих контейнеров.
Идентификационные данные являются также горячей темой в безопасности IT-систем. CoreOS имеет технологию идентификационных данных с открытым исходным кодом под названием Dex, который может помочь организациям с контролем доступа пользователей для приложений-контейнеров.Между тем CA имеет долгую историю пользовательских технологий идентификационных данных.
На моей панели Хоббс CA подчеркнул, что интеграция с существующими формами аутентификации пользователя и политического управления важна для контейнеров, как со всем другим развертыванием бланков заявки на участие.Ключевой фактор для большого количества расходов безопасности является связанными с соответствием установленным требованиям усилиями. В DockerCon EU, Удо Зейделе, главном архитекторе и цифровом евангелисте в Амадеусе, детализированном, как его организация имеет управляемый для использования контейнеров Докера для достижения Отраслевого Стандарта по защите данных Платежной карты (DSS PCI) соответствие.
На моей собственной панели на Архитектурном Саммите Макрири объяснил, как Aptible в состоянии использовать контейнеры для своего американского закона о Мобильности и Учете Медицинского страхования (HIPPA) требования. И для DSS PCI и для HIPPAA, конфиденциальность данных является главной, который является чем-то, что свойства изоляции контейнеров могут помочь включить.