转载

容器比虚拟机更安全的13个方面

BY ROB HIRSCHFELD

去年，普遍观念认为容器的安全性远不如虚拟机。为什么呢？由于容器的抽象层极容易被攻破，因此容器的安全无疑比通过硬件VT-X 优化后的虚拟机抽象层薄弱的多。一旦攻防松懈，恶意代码便可轻松攻击主机。更糟糕的是，一旦主机妥协，由于容器缺乏自有的操作系统壁垒，容器将失去最基本的防守能力。隔离墙的薄弱会导致容器存在大量安全风险隐患。

然而真相是：正面攻击及未打补丁的漏洞可能比后门入侵更加不安全。

特别配置的虚拟机被大量复制，采用不一致的安全设置，运行在浮肿的操作系统上，这才是我们的首位安全隐患。事实上，轻量级设计的容器配置将降低被攻击的几率，轻薄的隔离墙使得在部署前后的安全加固操作更加简便。

容器虽然没有天生的技术优势，但至少在以下六个方面更安全：

1、 不允许SSH ：这招直接断了很多正面攻击的入口；

2、 无用户访问 ：没有用户可省去证书或工具支持用户访问的需求；

3、 容器系统限制默认端口 ：容器就是服务，因此可直接限定大多数访问连接的端口；

4、 短命的容器不易被入侵 ：很难通过一个只存活几分钟甚至几秒钟的服务入侵系统；

5、 非持久化的存储设计难以支持恶意软件注入 ：由于容器并不支持在文件系统上持久化存放应用数据，因此注入的恶意代码也同样无法保存；

6、 自动升级能加速安全补丁的获取和应用 ：通过CI/CD Pipeline自动构建，无需人工介入，实现自动快速的代码和LIB库更新。

此外，关于容器的最佳实践案例也提供了更多安全保障经验：

1、 预部署之来源及依赖校验 ：校验服务可确保容器使用了正确且合规路径的代码；

2、 预部署之真实性校验 ：服务还可通过容器的信任链关系检查，确保代码未被篡改；