所有产品

容器和微服务器将会如何来改变安全性

  构建和部署阶段的安全性把重点放在将控件应用于开发人员工作流程以及持续集成和部署管道(deploymentpeline),以减轻容器启动后可能出现的安全问题的风险。Docker、Red Hat和CoreOS等公司的几个领先的容器平台和工具提供了部分或全部功能。从这些选项之一着手是构建和部署阶段确保强健的安全性的最简单的方法。

  然而,构建和部署阶段的控件仍然不足以确保全面的安全程序。在容器开始运行之前抢占所有安全事件是不可能的,原因如下。首先,不可能一劳永逸地消除所有漏洞,新的漏洞始终会被利用。其次,声明式容器元数据和网络分段策略不能完全预测高度分布式环境中的所有合法应用程序活动。最后,运行时控件使用起来很复杂,经常会配置错误,使应用程序容易受到威胁。

  运行时阶段的安全性包括发现和停止容器运行时发生的攻击和策略违规所需的所有功能,即可见性、检测、响应和预防。安全小组需要对安全事件的根本原因进行鉴别分类、调查和确认,以便对其进行充分的补救。以下是成功运行时阶段的安全性的关键方面。

  为持续可见性测量整个环境。能够检测攻击和违反策略的行为都始于能够实时捕获运行容器的所有活动,以提供可操作的“事实上的来源(source of truth)”。存在各种用于捕获不同类型的容器的相关数据的仪器框架。选择可以处理容器的容积和速度的关键。

  关联分布式威胁指标。把容器设计成按资源可用性分布在计算基础设施。鉴于应用程序可能包含数百或数千个容器,攻击的指标可能会扩散到大量的主机上,这使确定与作为主动威胁的一部分相关的那些主机变得更困难。需要大规模,快速的相关性来确定是哪些指标构成特定攻击的基础。

  分析容器和微服务行为。微服务和容器可将应用程序分解为执行特定功能并被设计为不可变的最小组件。这种做法比传统应用程序环境更容易让人理解预期行为的正常模式。与这些行为基准的偏差可能反映了恶意活动,而这可以更准确地检测威胁。

  用机器学习增强威胁检测。在容器环境中产生的数据量和速度使常规的检测技术应接不暇。自动化和机器学习可以实现更有效的行为建模、模式识别和分类,以更高的保真度和更少的误报检测威胁。要警惕那些仅仅用机器学习来生成用于警告异常的静态白名单的解决方案,这可能会导致严重的警报噪音和疲劳。

  拦截和阻止未经授权的容器引擎命令。发给容器引擎的命令(例如Docker)用于创建、启动和终止容器以及运行启动中的容器内的命令。这些命令可以反映对容器的攻击企图,这意味着必须禁止任何未经授权的容器。

  将响应和取证的动作自动化。容器的短暂生命意味着它们留给事件响应和取证的可用信息极少。此外,原生云架构往往将基础设施视为不可变,自动将受影响的系统替换为新的系统,这意味着容器在调查时可能会消失。自动化可以确保快速捕获、分析和升级信息,以减轻攻击和破坏的影响。

  基于容器技术和微服务架构的原生云软件正在迅速地对应用程序和基础设施进行现代化。这种范式转移迫使安全专业人员重新考虑能有效保护其组织所需的计划。当容器被构建、部署和运行时,一个全面的原生云软件安全程序解决了整个应用程序生命周期。通过使用上述指南实施程序,组织可以为容器基础设施及运行在它上面的应用程序和服务构建稳固的基础。

  Docker 引擎日志一般是交给了 Upstart(Ubuntu 14.04) 或者 systemd....

  管道仪表流程图是化工工艺设计的重要组成部分。在设计过程中,应根据整个工艺流程图的要求,详细地表示该系....

  如果你对容器化感兴趣并且关注过,可能会听过许多关于Kubernetes的事情。随着云开发的重点转移到....

  性能分析的价值超出了服务负载所需的计算资源或满足峰值需求所需的应用实例数量的估计。性能显然与成功企业....

  法兰未能与管道或容器连接在一起,适用于压力较低的场合,对有色金属和不锈钢设备和管道壳体不产生附加弯曲....

  容器虽然不是一个新事物,但是国内的市场应该没有起来,国外好点,但是总体来说,容器目前的市场空间还不够....

  现在一提到微服务,有很多人会想到容器技术(这里说到的容器技术是指docker)。那么微服务和容器之间....

  要建设容器云,首先要考虑清楚为什么要建设容器云,建设容器云用来做什么,和记娱乐,或者说它能做什么,容器云在云计....

  Tomcat服务器是一个免费的开放源代码的Web应用服务器,它是Apache软件基金会(Apache....

  servlet没有main方法,那我们如何启动一个servlet,如何结束一个servlet,如何寻....

  垫片是法兰连接的主要密封件,因而正确选用垫片也是保证法兰连接不泄漏的关键。根据制作材料的不同,垫片可....

  一、 玻璃板 (管) 液位计的安装要求如下:用玻璃板 (管) 液位计和浮球 (浮筒) 液位计测量同....

  管道仪表流程图是化工工艺设计的重要组成部分。在设计过程中,应根据整个工艺流程图的要求,详细地表示该系....

  K8S是第一个将“一切以服务为中心,一切围绕服务运转”作为指导思想的创新型产品,它的功能和架构设计自....

  REX-Ray 容器跨主机存储坑实在是太多,百度搜索出来的各种解决方案很少有实际意义,跟风粘贴复制者....

  在一个已启动了N多个容器Linux操作系统的宿主机上,新启动一个映射到宿主机端口号为portM的容器....

  IBM Research 已经创造出一种新的软件安全性衡量方法——Horizontal Attack....

  该研究的数据来自Sysdig Monitor和Sysdig Secure云服务报告的容器使用情况的时....

  虚拟机是一个完整的虚拟化服务器,通过被称为虚拟机管理程序的软件分配磁盘空间、处理器周期和I/O资源。....

  容器的其他主要优点还包括提供了可重复性和可移植性。用户可在不安装应用的情况下,在各种系统上运行工作负....

  IBM与Red Hat之间的此次合作是两家全球最大开源公司 20 年来合作关系的延续和发展。此次合作....

  决定如何为容器实现持久存储的第一步是确定您将使用的存储系统的基础类型。在这方面, 通常有三种主要选项....

  容器是随着面向对象语言的诞生而提出的,容器类在面向对象语言中特别重要,甚至它被认为是早期面向对象语言....

  微服务器市场还处于初始阶段,市场比较分散,每一家企业的体量都不大。因此,Intel对微服务器市场的关....

  基于ARM架构的微服务器浮出市场,开始成为Intel主宰的现有服务器市场的潜在威胁,其市场推动力是今....

  为了不独让Intel与ARM双星拱月,Imagination Technologies近期表示,除了....

  北京时间7月23日凌晨消息, 英特尔周一宣布,计划于明年发布新的低功耗版至强(Xeon)处理器,抢占....

  今天的企业级基础计算平台市场不仅包含这些人们耳熟能详的产品,“集成系统、一体化参考架构、微服务器”等....

  微服务器是指采用低功耗处理器大幅降低成本及能耗的新型系统。随着社交、移动、云和大数据的爆发式增长,....

  表2.6列出了各种不同封装的θCA(容器到外部的热阻)的一些典型值。外壳附近的空气流速对热的传导具有....

  外压容器失稳实验 一、实验目的1.观察薄壁圆筒形容器在外压作用下丧失稳定后的形态,从而....