容器化彻底改变了应用程序的开发、部署和管理，这是有充分理由的。它使开发者能够轻松地将应用程序及其依赖项封装进一个便于部署的包中，这样他们就可以更专注于自己最擅长的事情：编写代码。

容器化被广泛认为是提高生产力和简化流程的首选方法，越来越多的组织通过容器化来优化软件开发和交付实践。根据 Forrester 的数据，71% 的 DevOps 团队利用容器和微服务来交付应用程序。因此，对于容器安全性的探讨显得尤为重要，重点关注DevOps如何为整个软件工程及交付流程提供一个稳健的框架。

采用全面DevOps方法的组织能够有效避免容器化的潜在风险，并保障其在面对日益增加的网络安全威胁时的系统和数据的安全性。

开发和运营流程的融合，通常称为DevOps，强调协作和自动化是软件开发生命周期的关键组成部分。

拥有持续交付和高软件质量的组织能够更快地将新的解决方案和功能推向市场。然而，最大的困境是避免在速度和安全性之间进行权衡。2023年，Sysdig报告指出，生产环境中运行的容器映像中，有87%存在严重或高危漏洞。考虑到这一点，填补这些漏洞的需求变得尤为迫切。

正如所有类型的部署一样，容器也无法避免被利用的风险。尽管容器化在很大程度上提升了安全性，但它同时也带来了新的安全隐患。这些隐患主要包括：

尽管容器安全工具在镜像扫描、密钥管理、运行时防护及合规检查方面发挥着重要作用，帮助实现安全性与便利性的平衡，但还有一种更为积极的安全策略——DevSecOps。这是一种以安全为核心的进化扩展版本的DevOps，可以通过早期识别和修复漏洞以及减少配置失误，来加强软件开发流程中的安全防护。

DevSecOps 和 DevOps 的最终目标是使用相同的原则和方法增强容器的安全性：

尽管在DevOps环境中实现容器安全有许多步骤，但有一些普遍认可的最佳实践，所有开发人员都应该将它们纳入到自己的开发生命周期中。

首要的实践是最大限度地保护容器运行时。类似 AppArmor 和 SELinux 这样的子系统（通常也被称为安全模块）是 Linux 内核的一部分，它们可以用来限制容器化应用程序在运行时的权限，从而有效地防止特权过高执行的情况发生，减少漏洞利用风险。

大多数软件开发并非从零开始，而是利用各种现有的代码和库。所有这些都可能成为攻击的向量。使用经过验证的软件和容器镜像进行开发可以降低最终产品中恶意代码或漏洞的风险。然而，即使是官方软件也可能存在安全漏洞，因此定期进行漏洞扫描可以帮助在部署前发现并解决问题。

实现最小特权原则并不局限于用户账户与管理员账户之间的划分，它同样适用于环境中的实际进程和软件。这一点与用户账户类似，最小特权原则意味着在可能的情况下，确保容器以非root用户的身份运行。这样可以在攻击者获得立足点后，最大限度地减少其对容器造成的损害。

在部署完成后主动监视和响应安全威胁同样非常重要。信息系统不是存在于真空中的，因此确保它们正常运行并保持健康对于整个环境的性能至关重要。这可以通过收集和分析容器日志和指标的各种监视和日志记录工具来实现，从而更轻松地实施响应计划并在环境中出现问题时快速解决这些问题。

安全作为一个总体概念是一系列不断变化的复杂挑战，虽然容器化确实有助于从根本上解决一些问题，但它也引入了许多新的攻击向量。

安全性必须被集成到软件开发的初始阶段，而这一过程正是由DevOps来推动的。通过使用自动化工具，组织可以大幅减少在部署和管理容器过程中遇到的风险。但至关重要的是，开发人员要在整个软件工程生命周期内承担安全责任。 

容器安全不是一个“即插即用”的功能，而是一个持续的过程，涉及在持续开发和集成中采用左移策略，监控并定期更新现有资源，以及迅速响应新检测到的威胁。DevOps的最佳实践可以加强组织容器环境的安全性，无论是在本地还是在云端。

* 本文为陈发明编译，原文地址：https://www.tripwire.com/state-of-security/look-container-security-through-lens-devops
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。