Container Docker Linux 微服務 容器

微服務架構安全三階段

2018-04-09
微服務架構是一個方法論,為有效防堵安全疑慮,建議可以從開發、部署與維運等三個階段建置對應的安全防護機制。
去(2017)年下半開始,有不少金融服務與製造業開始以微服務架構優化資訊系統架構,在這個過程中,有許多客戶提出安全疑慮,對此,建議先釐清參考微服務架構優化服務可能遭遇那些安全挑戰,再構思對應的安全機制。

眾所皆知,微服務架構是一個方法論,需要透過容器技術(Container Technology)予以實踐,在眾多容器技術中,又以Docker最受市場青睞、採用率也最高,因此可能產生的安全疑慮不外乎:惡意份子從已知的Docker安全漏洞進行攻擊、將惡意程式放置Dockerfile上傳到映像檔儲存庫供人下載建立Docker映像檔、惡意份子取得Docker控制權並建立特權容器,以及透過在Docker上運行的應用程式漏洞進行攻擊等。

為有效防堵上述安全隱憂,建議可以從開發、部署與維運等三個階段建置對應的安全防護機制:

在開發階段,可以先確認容器執行程式需要存取那些資訊,然後,以Linux Kernel的權限分配與控制(Capabilities)機制將權限細分成幾十個類別,依照需求分配、控管各個容器執行程式的權限,而不是直接給予Root(最高管理員)權限,如此一來,就算容器服務遭竊取、入侵,也不用擔心惡意份子可以挾持整個系統環境與應用服務;此外,也可以透過Linux的安全模組AppArmor限制各個容器程序的網路存取、掛載文件等權限。

在部署階段,則可以透過內建弱點掃描工具的IBM Docker管理工具,針對Docker映像檔進行自動化弱點掃描,在正式上線前先確認作業系統與Docker執行程式沒有安全漏洞並給出對應的安全建議,同時,透過Linux Kernel的命名空間(Name Space)機制進行實體隔離,確保以命名空間隔離的容器不會因為遭駭而相互感染、影響,同時還可以透過cgroup針對單一命名空間進行CPU、記憶體與容器可存取裝置等資源進行管理,大幅降低安全事件的影響範圍。

等到系統上線後,除可以持續透過IBM Docker管理工具內建的弱點掃描及系統監控工具監控容器服務的運行狀況,檢視其弱點、法規遵循、配置安全及非法軟體偵測等等,還可以視需求整合IBM Qradar、AppScan進行更深入的安全防護與網頁應用程式弱點掃描,提升安全防禦能量。

總體來說,建議企業在規劃之初便擬定對應的安全防護策略,以事半功倍之姿,暢快享受微服務架構趨勢帶來的諸多好處,如透過縮短開發時程提升市場反應力,以及確保企業營運服務不會因為單一模組遭駭而停滯。

<本文作者:許仲言,現為台灣IBM公司雲端運算事業部總經理。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!