【51CTO 快譯】在企業IT領域，顛覆性技術正非常迅速地被應用于商業。然而，如果企業文化和流程沒有與時俱進、跟上技術的步伐，哪怕最出色的企業應用軟件，它的效果也必然會大打折扣。比如，受其影響較為顯著的一個IT領域就是網絡安全。但是軟件容器的崛起為企業提供了做好應用程序安全或者至少大大提高應用程序安全的機會。而軟件容器也正在成為最具顛覆性的企業技術之一。

Docker和CoreOS RKT等軟件容器正迅速被采用于應用軟件開發、開發運維(DevOps)和Web應用程序等環境。那是因為它們會給企業帶來明顯的好處：部署快，具有靈活性和可擴展性，而且可以經濟高效地利用計算資源。

然而，這些軟件容器的應用在為企業IT帶來好處的同時，也帶來了新的安全挑戰――即在共享內核上運行，隔離用戶和進程方面存在難題，它們增加的一層阻礙了用戶了解主機上的活動，另外管理容器部署的絕對規模令人望而生畏。

雖然面臨這些挑戰，但依然有幾個原因表明，容器確實為企業IT提供了大好機會，并且能夠大大提高企業的安全性：

1.讓容器安全成為聚匯點，開發運維和安全可以圍繞它聯合起來：開發運維是一股潮流，旨在通過自動化、溝通和協作，改善和協調應用程序開發團隊與運維團隊之間的關系。Securosis在2015年10月發布了Adrian Lane撰寫的一份題為《把安全融入開發運維》的報告，該報告特別指出：“開發運維同時代表了一場文化變革……很難表述讓運維、開發和質量保證等團隊肩并肩合作的影響……在你親自領略、認識到許多問題因清晰地溝通和共同的目的而得到緩解之前，你可能覺得這是個‘模糊’的好處......”

企業安全團隊面臨與開發團隊和運營團隊相同的企業文化障礙，可能會因類似開發運維的文化重組而受益匪淺。將安全添加到開發運維即“開發安全運維”(DevSecOps)絕不是新想法，如今早已深入人心。

讓開發運維成為做好容器安全的一個關鍵因素是，開發運維促進了提高企業網絡安全性所需的文化轉變。也許開發運維一開始并沒有考慮到安全，但是安全團隊在充分利用開發運維，調整自己與開發團隊和運維團隊的關系，然后重新確立與其他IT小組的這種關系。如果我們決定讓容器安全成為開發運維和安全聯合起來的聚匯點，它就創造了讓關鍵的安全流程實現自動化的機會，為隨后的文化變革提供了一個成功的案例。

2.由于沒完沒了的重大安全泄密事件，安全現在成為高層主管關注的問題：開發運維并不是影響企業網絡安全唯一的文化層面的變革推動者。如果說科技界從沒完沒了的重大安全泄密事件中學到了什么教訓，那就是，把安全融入到IT不僅僅是一個口號――它對業務不無好處。相比之前的提供商，容器平臺提供商非常關注安全，但是容器市場仍處于早期階段。由于高盛和紐約銀行等組織公開聲明，它們對容器“寄予厚望”，安全不再是事后補充上去的想法。這就引出了最關鍵的因素……

3.在容器成為主流應用之前，要明確并滿足容器安全要求：由于安全團隊是容器采用審查流程的一部分，容器在成為主流技術之前，我們需要列出安全方面要考慮的因素。然而，大多數安全專業人員根本不知道容器是什么，更不用說部署容器對安全會有什么樣的影響。除了獨特的安全問題外，網絡安全簡史告訴我們，只要引入一種新技術，濫用它的漏洞永遠不會落后。

盡管Docker及其他容器平臺廠商很關注安全，但是它們無法控制或預測客戶會如何使用容器。一眨眼的工夫，許多公司就會仿效高盛和紐約銀行梅隆。任何在評估基于容器策略的組織都要確保安全已及早考慮進來。

現在，我們仍比安全問題領先幾步，但是安全團隊需要做好本職工作。他們需要盡快熟悉容器技術，并且結合它們使用容器來構建的企業應用程序這個環境來考慮容器安全問題。

這是個艱巨的任務，但是及早融入容器安全，讓容器有望成為一流的應用程序安全典范。

如果企業充分抓住這個機會，將安全集成到構建和管理基于容器的應用程序的架構當中，這為搞好安全提供了難得的機會。

原文標題：3 ways to improve security as you embrace containers 作者：Dror Davidoff

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】