在企业IT领域,颠覆性技术正非常迅速地被应用于商业。然而,如果企业文化和流程没有与时俱进、跟上技术的步伐,哪怕最出色的企业应用软件,它的效果也必然会大打折扣。比如,受其影响较为显著的一个IT领域就是网络安全。但是软件容器的崛起为企业提供了做好应用程序安全或者至少大大提高应用程序安全的机会。而软件容器也正在成为最具颠覆性的企业技术之一。
Docker和CoreOS RKT等软件容器正迅速被采用于应用软件开发、开发运维(DevOps)和Web应用程序等环境。那是因为它们会给企业带来明显的好处:部署快,具有灵活性和可扩展性,而且可以经济高效地利用计算资源。
然而,这些软件容器的应用在为企业IT带来好处的同时,也带来了新的安全挑战――即在共享内核上运行,隔离用户和进程方面存在难题,它们增加的一层阻碍了用户了解主机上的活动,另外管理容器部署的绝对规模令人望而生畏。
虽然面临这些挑战,但依然有几个原因表明,容器确实为企业IT提供了大好机会,并且能够大大提高企业的安全性:
1.让容器安全成为聚汇点,开发运维和安全可以围绕它联合起来:开发运维是一股潮流,旨在通过自动化、沟通和协作,改善和协调应用程序开发团队与运维团队之间的关系。Securosis在2015年10月发布了Adrian Lane撰写的一份题为《把安全融入开发运维》的报告,该报告特别指出:“开发运维同时代表了一场文化变革……很难表述让运维、开发和质量保证等团队肩并肩合作的影响……在你亲自领略、认识到许多问题因清晰地沟通和共同的目的而得到缓解之前,你可能觉得这是个‘模糊’的好处......”
企业安全团队面临与开发团队和运营团队相同的企业文化障碍,可能会因类似开发运维的文化重组而受益匪浅。将安全添加到开发运维即“开发安全运维”(DevSecOps)绝不是新想法,如今早已深入人心。
让开发运维成为做好容器安全的一个关键因素是,开发运维促进了提高企业网络安全性所需的文化转变。也许开发运维一开始并没有考虑到安全,但是安全团队在充分利用开发运维,调整自己与开发团队和运维团队的关系,然后重新确立与其他IT小组的这种关系。如果我们决定让容器安全成为开发运维和安全联合起来的聚汇点,它就创造了让关键的安全流程实现自动化的机会,为随后的文化变革提供了一个成功的案例。
2.由于没完没了的重大安全泄密事件,安全现在成为高层主管关注的问题:开发运维并不是影响企业网络安全唯一的文化层面的变革推动者。如果说科技界从没完没了的重大安全泄密事件中学到了什么教训,那就是,把安全融入到IT不仅仅是一个口号――它对业务不无好处。相比之前的提供商,容器平台提供商非常关注安全,但是容器市场仍处于早期阶段。由于高盛和纽约银行等组织公开声明,它们对容器“寄予厚望”,安全不再是事后补充上去的想法。这就引出了最关键的因素……
3.在容器成为主流应用之前,要明确并满足容器安全要求:由于安全团队是容器采用审查流程的一部分,容器在成为主流技术之前,我们需要列出安全方面要考虑的因素。然而,大多数安全专业人员根本不知道容器是什么,更不用说部署容器对安全会有什么样的影响。除了独特的安全问题外,网络安全简史告诉我们,只要引入一种新技术,滥用它的漏洞永远不会落后。
尽管Docker及其他容器平台厂商很关注安全,但是它们无法控制或预测客户会如何使用容器。一眨眼的工夫,许多公司就会仿效高盛和纽约银行梅隆。任何在评估基于容器策略的组织都要确保安全已及早考虑进来。
现在,我们仍比安全问题领先几步,但是安全团队需要做好本职工作。他们需要尽快熟悉容器技术,并且结合它们使用容器来构建的企业应用程序这个环境来考虑容器安全问题。
这是个艰巨的任务,但是及早融入容器安全,让容器有望成为一流的应用程序安全典范。
如果企业充分抓住这个机会,将安全集成到构建和管理基于容器的应用程序的架构当中,这为搞好安全提供了难得的机会。
好文章,需要你的鼓励
数据已经成为很多企业和组织的宝贵资产。他们正在分析数据以深入了解市场、客户和他们自己的运营情况。他们正在使用数据来推动数字化转型计划,支持新的数据密集型服务。
回顾历史,大约十年前,苹果公司在其Mac电脑产品中采用了英伟达的高性能图形处理芯片。然而,在经历了一系列商业争议之后,苹果公
根据Capital One工程副总裁Terren Peterson的说法,IT领域的一切最终都会商品化。Peterson在该银行工作了超过24年,对于商品化如何影响IT业务有着第一手的经验。
澳大利亚新南威尔士州交通局首席创新和技术官Kurt Brissett最近和我们分享了如何为交通用户提供世界首创的技术,以及如何将很高的员工参与度转化为客户满意度。