建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 技术前沿 » 正文

Aqua Security 发布容器安全平台2.0:纳米隔离

来源:2017-03-07 | 人围观 | 评论:暂无评论

容器安全平台2.0的发布,旨在进一步辅助应用容器流量隔离和添加对秘密管理的新支持。

aqua-600

容器技术已提供了多种形式的隔离来保证应用工作负载安全与隔离。Aqua Security 首席技术官兼共同创始人阿米尔·杰尔比称,额外的隔离是必要的,也就是其公司如今发布的容器安全平台(CSP)2.0。

Aqua Security 在2016年5月率先发布了CSP,号称可以扫描容器内的已知和未知安全问题。随着新的2.0版本发布,Aqua展现的是其称为“纳米隔离”的容器隔离和整体安全提升能力。

纳米隔离就是创建区域的能力,有了这个能力,我们就能确保容器的通信范围限定在区域之内。

区域可被定义为容器到容器的通信,运行在同一台主机系统或在不同机器上都可以。区域也可扩展至定义非基于容器的服务。比如说,未必需要运行在容器中的外连数据库应用容器工作负载。

“我们可以自动创建动态区域,确保容器仅能与指定区域内的成员进行通信。”

包括Docker在内的容器技术,已经具备了各种各样的隔离能力,从Linux上的用户名字空间控制,到以seccomp实现的策略驱动控制。Seccomp是集成到Linux内核主线的一项技术,提供细粒度的安全控制。用户名字空间可为Docker上运行的单个应用和进程提供可见性与控制。另外,从联网角度出发,不同组的容器可用软件定义联网(SDN)策略进行隔离。

杰尔比评价道,在理想世界,所有IT工作负载都将通过容器提供,只不过,当前现实情况尚未达到而已。现有容器的安全隔离能力大部分是特定于容器部署的,而非仍属于应用投送过程一部分的其他非容器元素。

“我们提供必要的安全控制,以确保容器只能连接授权服务。”

从联网角度,Aqua的CSP运行在容器主机操作系统上,连接网桥或重叠网络。有了网络可见性,CSP便能检查容器的所有进出流量,以便进行决策。策略会基于所观测到的容器行为自动创建。

我们的方法是零接触的,用户无需创建任何东西,不用定义任何策略语言。我们在幕后定义了所有的容器互动,并能呈现给用户。

容器的潜在安全风险之一,就是特定流氓容器应用可以从隔离环境中“逃逸”,攻击系统中的其他服务。Aqua的技术不仅仅查找已知漏洞,而是探查映射给定容器的已知良好行为。如果容器做了什么不正常的动作,CSP就会封锁该动作。

秘密

CSP 2.0 的新功能,还包括了与Hashicorp的开源秘密管理技术Vault的集成。在Linux容器环境中,秘密被定义为出于安全考虑而应保持私密的项,比如口令、安全密钥和访问令牌。Vault项目于2015年5月启动,逐渐成为流行秘密管理工具。

Docker自身也有秘密管理API,最近在1月20号发布的 Docker 1.13 版中有了改善。Aqua的技术目前尚未直接与Docker的原生秘密管理技术集成。

容器安全技术市场有多家厂商在竞争,包括Docker、CoreOS和Twistlock等等。杰尔比相信,自己的公司因其广阔的视角和纳米隔离,而鹤立于其他公司之间。展望未来,Aqua的计划是,与Kubernetes等容器编配平台进行更好的集成,扩展CSP。

容器安全最初的关注点,在于漏洞扫描。我们现在关心的,是以自动化的方式保护用户部署的运行时和工作负载。

 

标签:纳米  容器  隔离  控制  Aqua
Top