拥抱容器的同时，毋忘提高安全性的三条途径

在企业IT领域，颠覆性技术正非常迅速地被应用于商业。然而，如果企业文化和流程没有与时俱进、跟上技术的步伐，哪怕最出色的企业应用软件，它的效果也必然会大打折扣。比如，受其影响较为显著的一个IT领域就是网络安全。但是软件容器的崛起为企业提供了做好应用程序安全或者至少大大提高应用程序安全的机会。而软件容器也正在成为最具颠覆性的企业技术之一。

Docker和CoreOS RKT等软件容器正迅速被采用于应用软件开发、开发运维(DevOps)和Web应用程序等环境。那是因为它们会给企业带来明显的好处：部署快，具有灵活性和可扩展性，而且可以经济高效地利用计算资源。

然而，这些软件容器的应用在为企业IT带来好处的同时，也带来了新的安全挑战――即在共享内核上运行，隔离用户和进程方面存在难题，它们增加的一层阻碍了用户了解主机上的活动，另外管理容器部署的绝对规模令人望而生畏。

虽然面临这些挑战，但依然有几个原因表明，容器确实为企业IT提供了大好机会，并且能够大大提高企业的安全性：

1.让容器安全成为聚汇点，开发运维和安全可以围绕它联合起来：开发运维是一股潮流，旨在通过自动化、沟通和协作，改善和协调应用程序开发团队与运维团队之间的关系。Securosis在2015年10月发布了Adrian Lane撰写的一份题为《把安全融入开发运维》的报告，该报告特别指出：“开发运维同时代表了一场文化变革……很难表述让运维、开发和质量保证等团队肩并肩合作的影响……在你亲自领略、认识到许多问题因清晰地沟通和共同的目的而得到缓解之前，你可能觉得这是个‘模糊’的好处......”

企业安全团队面临与开发团队和运营团队相同的企业文化障碍，可能会因类似开发运维的文化重组而受益匪浅。将安全添加到开发运维即“开发安全运维”(DevSecOps)绝不是新想法，如今早已深入人心。

让开发运维成为做好容器安全的一个关键因素是，开发运维促进了提高企业网络安全性所需的文化转变。也许开发运维一开始并没有考虑到安全，但是安全团队在充分利用开发运维，调整自己与开发团队和运维团队的关系，然后重新确立与其他IT小组的这种关系。如果我们决定让容器安全成为开发运维和安全联合起来的聚汇点，它就创造了让关键的安全流程实现自动化的机会，为随后的文化变革提供了一个成功的案例。

2.由于没完没了的重大安全泄密事件，安全现在成为高层主管关注的问题：开发运维并不是影响企业网络安全唯一的文化层面的变革推动者。如果说科技界从没完没了的重大安全泄密事件中学到了什么教训，那就是，把安全融入到IT不仅仅是一个口号――它对业务不无好处。相比之前的提供商，容器平台提供商非常关注安全，但是容器市场仍处于早期阶段。由于高盛和纽约银行等组织公开声明，它们对容器“寄予厚望”，安全不再是事后补充上去的想法。这就引出了最关键的因素……

3.在容器成为主流应用之前，要明确并满足容器安全要求：由于安全团队是容器采用审查流程的一部分，容器在成为主流技术之前，我们需要列出安全方面要考虑的因素。然而，大多数安全专业人员根本不知道容器是什么，更不用说部署容器对安全会有什么样的影响。除了独特的安全问题外，网络安全简史告诉我们，只要引入一种新技术，滥用它的漏洞永远不会落后。

尽管Docker及其他容器平台厂商很关注安全，但是它们无法控制或预测客户会如何使用容器。一眨眼的工夫，许多公司就会仿效高盛和纽约银行梅隆。任何在评估基于容器策略的组织都要确保安全已及早考虑进来。

现在，我们仍比安全问题领先几步，但是安全团队需要做好本职工作。他们需要尽快熟悉容器技术，并且结合它们使用容器来构建的企业应用程序这个环境来考虑容器安全问题。

这是个艰巨的任务，但是及早融入容器安全，让容器有望成为一流的应用程序安全典范。

如果企业充分抓住这个机会，将安全集成到构建和管理基于容器的应用程序的架构当中，这为搞好安全提供了难得的机会。