容器云如何保護數(shù)據(jù)安全？

容器化云的概念并不是什么新鮮事物，而且如今已經(jīng)在市場上切實鋪開、不斷普及。但大家有沒有想過，我們該怎么保護這么多存放著關(guān)鍵資產(chǎn)的容器?它們不單承載著業(yè)務(wù)信息，同時也直接影響到客戶、合作伙伴及員工的安全態(tài)勢。

在本文中，我們將共同探索從部署到數(shù)據(jù)存儲階段的不同容器保護方法，了解如何保護數(shù)據(jù)、規(guī)避可能出現(xiàn)的網(wǎng)絡(luò)威脅。此外，我們還將探討一系列關(guān)于保護客戶信息和修復安全漏洞的好實踐。

安全注意事項

我們首先來看在創(chuàng)建容器化應(yīng)用程序時，需要關(guān)注的幾大主要云容器安全注意事項：

隔離

如果在云端運行虛擬機(VM)，那么每個虛擬機只對應(yīng)一個應(yīng)用程序。虛擬機之間存在壁壘，共享任一虛擬機、不會對其他虛擬機造成任何影響。

容器與虛擬機有著很多相似特性，但容器更為輕巧，更適合托管那些由高度動態(tài)的語言所編寫、在設(shè)計上強調(diào)在實時系統(tǒng)上部署的應(yīng)用程序。大家熟悉的Node.js、Ruby on Rails、Python以及PHP都屬于高動態(tài)編程語言。

當我們在虛擬機中創(chuàng)建容器時，該容器也處于隔離狀態(tài);如果需要將其部署在其他環(huán)境，則應(yīng)確保它與其他應(yīng)用程序互不干涉。另外請注意，單服務(wù)器部署相對簡單;但如果出于共享目的而將容器部署在多臺服務(wù)器上，還需要考慮相應(yīng)的網(wǎng)絡(luò)問題。

當然，在虛擬機中運行多個容器本身也頗具難度，在應(yīng)用程序體量較大時更是如此。為了隔離開多個容器，必須單獨部署每個容器。換句話說，應(yīng)用程序可能跟另一個不明來源的應(yīng)用程序同時運行在同一臺主機之上。

安全部署

那我們該怎么保護這些容器?在思考答案之前，首先要從不同的考量因素入手：

容器保護方面的另一大重點，在于云服務(wù)商有沒有切實貫徹安全措施。不少云服務(wù)商都有自己的一套產(chǎn)品和工具，所以在著手部署容器前必須先對現(xiàn)有安全方案開展核查。

云服務(wù)商也是容器保護中的重要一環(huán)。他們可以分析應(yīng)用程序需要什么，再采取適當?shù)姆椒右员Ｗo。有些云服務(wù)商還會把自己的一部分應(yīng)用程序部署在云端，借此衡量和驗證自己的云安全措施。

配合來自云服務(wù)商的出色安全監(jiān)控與管理解決方案，可以更輕松地跟蹤容器內(nèi)的錯誤配置或違規(guī)活動。一旦發(fā)現(xiàn)問題，優(yōu)秀的云服務(wù)商還能為我們提供可行的補救策略。

當然，容器部署還只是開始，持續(xù)監(jiān)控容器才能觀察其中是否存在安全或者配置問題。

數(shù)據(jù)存儲

一說起數(shù)據(jù)移動，大家首先想到的往往是虛擬機或者文件系統(tǒng)。這些當然重要，但還不夠全面。另一大重要考量因素在于容器數(shù)據(jù)的位置：位于容器自身、還是位于集群(運行中的容器組)。如果不清楚數(shù)據(jù)存放在哪里，大家的安全保障工作恐怕將無從開展。

數(shù)據(jù)存儲是保護容器時需要考慮的核心因素之一。

數(shù)據(jù)往往會被放置在虛擬機與主機系統(tǒng)相互隔離的位置。而在容器中，由于往往同時擁有多個容器實例，所以數(shù)據(jù)可能位于多個容器當中;而且根據(jù)實際選定的數(shù)據(jù)模型，大家可以把數(shù)據(jù)安全存儲在主機上或者其他隔離度更高的位置。

當創(chuàng)建新容器時，云服務(wù)商可以看到其中到底包含哪種數(shù)據(jù)類型。因此如果應(yīng)用程序運行方式不夠安全，那么數(shù)據(jù)也可能面臨風險。所以在應(yīng)用程序設(shè)計中也應(yīng)考慮到云服務(wù)商的安全思路，確保容器數(shù)據(jù)安全可靠、不致意外泄露。

定義安全規(guī)則

如前文所述，安全規(guī)則也是容器部署中最重要的安全因素之一。在安全設(shè)計中，必須保證各項安全規(guī)則能夠準確反映應(yīng)用程序需求與當前數(shù)據(jù)模型。

下面來看部分安全規(guī)則示例：

定義窗口存儲的管理規(guī)則，特別是明確設(shè)定允許哪些容器訪問存儲內(nèi)容(即容器數(shù)據(jù)訪問控制列表，簡稱CACL)。沒有容器規(guī)則的容器定義，不能算是完整的容器定義。

根據(jù)容器與應(yīng)用程序的實際需求，可以通過進程管理器完成規(guī)則定義。您可以將此進程管理器設(shè)置為容器擁有者，為其授予數(shù)據(jù)寫入以及從存儲處讀取數(shù)據(jù)的權(quán)限。

如果還有其他需要定義的安全規(guī)則，例如訪問控制列表(ACL)或者基于角色的訪問控制列表(RBACL)，也可以使用作為容器所有者的進程管理器實現(xiàn)。以該管理器為載體的訪問規(guī)則與身份管理，將為您的容器體系提供堅實的安全支持。

文章標題：容器云如何保護數(shù)據(jù)安全？
文章分享：http://muchs.cn/news/204122.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、做網(wǎng)站、企業(yè)建站、自適應(yīng)網(wǎng)站、用戶體驗、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)