（文章來源：企業(yè)網(wǎng)D1Net）

構建和部署階段的安全性把重點放在將控件應用于開發(fā)人員工作流程以及持續(xù)集成和部署管道（deployment pipeline），以減輕容器啟動后可能出現(xiàn)的安全問題的風險。Docker、Red Hat和CoreOS等公司的幾個領先的容器平臺和工具提供了部分或全部功能。從這些選項之一著手是構建和部署階段確保強健的安全性的最簡單的方法。

然而，構建和部署階段的控件仍然不足以確保全面的安全程序。在容器開始運行之前搶占所有安全事件是不可能的，原因如下。首先，不可能一勞永逸地消除所有漏洞，新的漏洞始終會被利用。其次，聲明式容器元數(shù)據(jù)和網(wǎng)絡分段策略不能完全預測高度分布式環(huán)境中的所有合法應用程序活動。最后，運行時控件使用起來很復雜，經(jīng)常會配置錯誤，使應用程序容易受到威脅。

運行時階段的安全性包括發(fā)現(xiàn)和停止容器運行時發(fā)生的攻擊和策略違規(guī)所需的所有功能，即可見性、檢測、響應和預防。安全小組需要對安全事件的根本原因進行鑒別分類、調(diào)查和確認，以便對其進行充分的補救。以下是成功運行時階段的安全性的關鍵方面。

為持續(xù)可見性測量整個環(huán)境。能夠檢測攻擊和違反策略的行為都始于能夠?qū)崟r捕獲運行容器的所有活動，以提供可操作的“事實上的來源（source of truth）”。存在各種用于捕獲不同類型的容器的相關數(shù)據(jù)的儀器框架。選擇可以處理容器的容積和速度的關鍵。

關聯(lián)分布式威脅指標。把容器設計成按資源可用性分布在計算基礎設施。鑒于應用程序可能包含數(shù)百或數(shù)千個容器，攻擊的指標可能會擴散到大量的主機上，這使確定與作為主動威脅的一部分相關的那些主機變得更困難。需要大規(guī)模，快速的相關性來確定是哪些指標構成特定攻擊的基礎。

分析容器和微服務行為。微服務和容器可將應用程序分解為執(zhí)行特定功能并被設計為不可變的最小組件。這種做法比傳統(tǒng)應用程序環(huán)境更容易讓人理解預期行為的正常模式。與這些行為基準的偏差可能反映了惡意活動，而這可以更準確地檢測威脅。

用機器學習增強威脅檢測。在容器環(huán)境中產(chǎn)生的數(shù)據(jù)量和速度使常規(guī)的檢測技術應接不暇。自動化和機器學習可以實現(xiàn)更有效的行為建模、模式識別和分類，以更高的保真度和更少的誤報檢測威脅。要警惕那些僅僅用機器學習來生成用于警告異常的靜態(tài)白名單的解決方案，這可能會導致嚴重的警報噪音和疲勞。

攔截和阻止未經(jīng)授權的容器引擎命令。發(fā)給容器引擎的命令（例如Docker）用于創(chuàng)建、啟動和終止容器以及運行啟動中的容器內(nèi)的命令。這些命令可以反映對容器的攻擊企圖，這意味著必須禁止任何未經(jīng)授權的容器。

將響應和取證的動作自動化。容器的短暫生命意味著它們留給事件響應和取證的可用信息極少。此外，原生云架構往往將基礎設施視為不可變，自動將受影響的系統(tǒng)替換為新的系統(tǒng)，這意味著容器在調(diào)查時可能會消失。自動化可以確?？焖俨东@、分析和升級信息，以減輕攻擊和破壞的影響。

基于容器技術和微服務架構的原生云軟件正在迅速地對應用程序和基礎設施進行現(xiàn)代化。這種范式轉移迫使安全專業(yè)人員重新考慮能有效保護其組織所需的計劃。當容器被構建、部署和運行時，一個全面的原生云軟件安全程序解決了整個應用程序生命周期。通過使用上述指南實施程序，組織可以為容器基礎設施及運行在它上面的應用程序和服務構建穩(wěn)固的基礎。

Wei Lien Dang是StackRox的產(chǎn)品副總裁，StackRox是一家為容器提供適應性威脅防護的安全公司。此前，他曾擔任CoreOS的產(chǎn)品負責人，并擔任Amazon Web Services、Splunk和Bracket Computing的安全和云基礎架構的高級產(chǎn)品管理角色。
? ? ? （責任編輯：fqj）