许多公司关注容器技术的潜力以及如何最好地利用这项技术，然而我们还需要大量关于容器的试验。

开发人员正在自己的沙盒中工作，在笔记本电脑上装好，然后将其投入生产。 但是，问题在于如果容器在没有安全措施的情况下完成，那么你可能并没有得到有正确控制权的敏捷性。

因此，即使容器工具越来越多，未知内容仍可能集中在容器中。RedHat的安全策略师Kristen Newcomer表示，在将容器投入生产之前，你需要问：管理这个有什么正确的流程？如何确保它与其他应用程序一样受到控制和管理？

Newcomer认为，你需要系统化容器的使用，以便可以通过适当的控制来实现所需要的灵活性。应该由安全部门与业务伙伴合作来提高安全性和灵活性。

容器允许你在不同环境中打包和部署一切。但是，公司必须确保已经为安全建立了坚实的基础，如果他们认为战略和工作负载放在容器平台上有意义。

5个必须避免的错误

独立工作是重要的技能，但你的容器也必须能够与别人一起“玩耍”。这里有五个被Newcomer称为最该避免的关于容器的错误，特别是在自己的沙盒中“玩”的时候。

——强大的安全性并不总是优先考虑的。保证容器的安全意味着保证其部署平台的安全。容器是一个很好的打包过程，可以在各种场合进行部署。但由于它在部署的平台上运行，因此需要保护这一过程。一些操作系统已经做了更多的工作来提高直接与容器一起工作的能力。
  

——只关注容器内部。开发人员往往专注于确保容器内部的内容，而不是容器本身。工具有助于确定容器内部的内容，但除此之外，还要评估在操作系统上部署容器时的攻击向量，以及在操作系统上运行的安全措施和保护。
    

——把容器作为特权运行。一直以来，安全性方面长期以来的最佳做法是，除非必需，否则不把进程作为特权运行。将最小权限的流程和策略置于适当位置，因为没有任何理由以应用程序和容器作为根目录运行。
    

——未能将容器集成到连续的安全环路中。这包括镜像证实、修补、安全扫描和基于策略的监控。开发人员喜欢控制部署环境，但运营和安全性会对这种对部署环境的控制感到担忧。构建安全工具，检查集成到EI进程中的已知漏洞。然后尽可能自动化来检查镜像是否有新发现的漏洞。
  

——忽视企业安全需求与容器安全目标的一致性。数字业务要求能够快速更新。他们需要敏捷和快速反应，并增加了能够应对新发现的漏洞的功能。容器使用软件定义的网络（SDN）。SDN提供统一的集群网络来使应该互相通话的容器可以进行通信，同时也将不应该进行通信的容器隔离开来。

编译：Jonathan Zhang

作者：Kacy Zurkus

来源：http://www.csoonline.com/article/3215134/application-development/top-5-container-mistakes-that-cause-security-problems.html

投稿邮箱：openstackcn@sina.cn