记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Aqua Security 发布容器安全平台2.0:纳米隔离

2017-02-11 03:45

容器安全平台2.0的发布,旨在进一步辅助应用容器流量隔离和添加对秘密管理的新支持。

aqua-600

容器技术已提供了多种形式的隔离来保证应用工作负载安全与隔离。Aqua Security 首席技术官兼共同创始人阿米尔·杰尔比称,额外的隔离是必要的,也就是其公司如今发布的容器安全平台(CSP)2.0。

Aqua Security 在2016年5月率先发布了CSP,号称可以扫描容器内的已知和未知安全问题。随着新的2.0版本发布,Aqua展现的是其称为“纳米隔离”的容器隔离和整体安全提升能力。

纳米隔离就是创建区域的能力,有了这个能力,我们就能确保容器的通信范围限定在区域之内。

区域可被定义为容器到容器的通信,运行在同一台主机系统或在不同机器上都可以。区域也可扩展至定义非基于容器的服务。比如说,未必需要运行在容器中的外连数据库应用容器工作负载。

“我们可以自动创建动态区域,确保容器仅能与指定区域内的成员进行通信。”

包括Docker在内的容器技术,已经具备了各种各样的隔离能力,从Linux上的用户名字空间控制,到以seccomp实现的策略驱动控制。Seccomp是集成到Linux内核主线的一项技术,提供细粒度的安全控制。用户名字空间可为Docker上运行的单个应用和进程提供可见性与控制。另外,从联网角度出发,不同组的容器可用软件定义联网(SDN)策略进行隔离。

杰尔比评价道,在理想世界,所有IT工作负载都将通过容器提供,只不过,当前现实情况尚未达到而已。现有容器的安全隔离能力大部分是特定于容器部署的,而非仍属于应用投送过程一部分的其他非容器元素。

“我们提供必要的安全控制,以确保容器只能连接授权服务。”

从联网角度,Aqua的CSP运行在容器主机操作系统上,连接网桥或重叠网络。有了网络可见性,CSP便能检查容器的所有进出流量,以便进行决策。策略会基于所观测到的容器行为自动创建。

我们的方法是零接触的,用户无需创建任何东西,不用定义任何策略语言。我们在幕后定义了所有的容器互动,并能呈现给用户。

容器的潜在安全风险之一,就是特定流氓容器应用可以从隔离环境中“逃逸”,攻击系统中的其他服务。Aqua的技术不仅仅查找已知漏洞,而是探查映射给定容器的已知良好行为。如果容器做了什么不正常的动作,CSP就会封锁该动作。

秘密

CSP 2.0 的新功能,还包括了与Hashicorp的开源秘密管理技术Vault的集成。在Linux容器环境中,秘密被定义为出于安全考虑而应保持私密的项,比如口令、安全密钥和访问令牌。Vault项目于2015年5月启动,逐渐成为流行秘密管理工具。

Docker自身也有秘密管理API,最近在1月20号发布的 Docker 1.13 版中有了改善。Aqua的技术目前尚未直接与Docker的原生秘密管理技术集成。

容器安全技术市场有多家厂商在竞争,包括Docker、CoreOS和Twistlock等等。杰尔比相信,自己的公司因其广阔的视角和纳米隔离,而鹤立于其他公司之间。展望未来,Aqua的计划是,与Kubernetes等容器编配平台进行更好的集成,扩展CSP。

容器安全最初的关注点,在于漏洞扫描。我们现在关心的,是以自动化的方式保护用户部署的运行时和工作负载。

 

知识来源: www.aqniu.com/tools-tech/22811.html

阅读:91414 | 评论:0 | 标签:技术产品 Aqua 安全控制 容器安全 纳米隔离

想收藏或者和大家分享这篇好文章→复制链接地址

“Aqua Security 发布容器安全平台2.0:纳米隔离”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词