保护容器平台的安全.PDFVIP

保护容器平台的安全 构建信任链 2 DevOps 挑战：安全、高速地开展创新 3 建立信任链 5 支持可信容器 6 从节点信任边界迁移至可信的云 8 扩展信任链的优势 11 利用端到端的安全性，满足业务需求 DevOps 挑战：安全、高速地开展创新 为了在竞争激烈的市场中支持企业实现业务目标，应用 尽管攻击链依然是侵入、埋伏、扩散、收集和泄露这几 开发主管及其团队必须以更快的速度通过各类设备，提 步，但是攻击者的“奇思妙想”却源源不绝。重大数据泄露 供优质的客户体验。因此，越来越多的 DevOps 团队采 事故屡屡见诸报端，这表明安全格局一直在变： 用基于容器的云平台以及敏捷的协作方法和工具链，以 • 攻击者意识到网络犯罪确实回报颇丰，这导致高级持 便尽可能地通过自动化的方式构建和迭代云原生应用， 续性威胁和其他迅速走向成熟的恶意软件越来越猖 将这些应用打造成独立但又可互操作的微服务。 獗。 在迁移至基于云的 DevOps 场景时建立和维持极高的安 • 国家的网络战能力也越来越复杂。在很多国家，攻击 全性，这似乎会增加很多阻碍，但是无论如何，我们都 者利用国家的资源开发复杂的工具，这些工具暗中给 绝对不能忽视安全性。例如大多数云平台采用 Docker 他们带来的金钱利益远远超过了他们的正当工作所 作为容器，在共享 Linux 内核上运行容器，这种做法本 得。 身就存在安全挑战。从社区商店下载的容器软件可能是 毫无疑问，保护云平台的安全这一基本挑战会让安全负 没有检测出的恶意软件，它在一个主机的 Linux 内核上 责人夜不能寐。首席信息安全官 (CISO) 的目标是定义企 获得特权升级后，就可以开始盗取数据 ，或者通过发起 业的安全框架和要求，将风险降至最低，并满足法规要 拒绝服务 (DoS) 攻击实施破坏。此外，容器之间也会相 求。任何实施项目都必须是可审计的项目。 互干扰，因为它们都是访问相同的资源，比如通道、库 和二进制文件。 这些要求可能会导致 CISO 与应用开发主管出现分歧，因 为应用开发主管需要满足以下要求的安全解决方案：尽 随着自带设备 (BYOD) 模式的日益普及，很多企业无法 可能提供自动化功能；并且能够灵活地集成到 DevOps 再控制企业终端，降低了传统企业边界的安全性。工作 流程中（如果不能变为完全隐匿）。 负载在数据中心和云端之间移动，但是不论工作负载如 何移动，安全性都必须“一路随行”。 云平台如何高效又有效地满足关键利益相关者重要但又 截然不同的需求？ 2 IBM Cloud 建立信任链 该解决方案旨在建立以硬件为基础的信任链，它会验证 图 1 展示了一条向 Kubernetes 集群添加新工作时涉及的 云平台中每个相关组件的完整性。一条真正的信任链起 基于硬件的信任链。 图中的数字分别对应以下 6 个步 始于托管芯片固件，贯穿容器引擎和编排系统，保护应 骤。谨记一点：在启动主机上验证衡量