容器化的安全原则(the security principles of containerization)

-容器技术架构
容器映像是由开发人员创建和注册的包，其中包含在容器中运行所需的所有文件，通常按层组织。映像通常包括层，例如最小操作系统核心（又名基础层）、应用程序框架和自定义代码。
尽管主机可以直接联系注册中心获取镜像并将其部署到容器中，但协调器（例如Kubernetes（K8S）、Docker Swarm、Mesos等）可以自动执行部署过程，从注册中心拉取镜像，并将其部署到容器中，并管理容器运行时。

不变性和弹性(Immutability and Elasticity)
正如宠物中的鸡、牛、鸡和昆虫类比，部署容器是为了弹性，具有自动“横向扩展”和“纵向扩展”的能力。
我们很好地照顾我们的宠物，但杀死和吃掉像牛和鸡这样的动物而不会後悔。虚拟机和容器是可以随时销毁、替换和添加的工作负载。不变性和无状态是容器实现弹性的两个关键属性。

不变性意味着“随时间不变或无法改变”。(Google) 我们可以将容器视为只读的；更新容器的唯一方法是用新容器替换它。无状态意味着容器不会在其本地存储中保留数据；但是，远程存储库用於跨容器持久化和共享状态。
大多数应用程序容器技术都实现了不变性的概念。换句话说，容器本身应该作为已部署但未更改的无状态实体运行。当正在运行的容器需要升级或更改其内容时，它会被简单地销毁并替换为具有更新的新容器。
资料来源： NIST SP 800-192

覆盖网络(Overlay Networks)
覆盖网络通常用於隔离节点之间的流量。相反，可能会导致非容器感知防御工具难以监控流量。

对容器进行分段和分组(Segmenting and Grouping Containers)
在某些情况下，适合将具有相同用途、敏感性和威胁态势的容器分组在单个主机上。尽管如此，它并不适用於所有不具有相同安全要求的容器。
仅将具有相同用途、敏感性和威胁态势的容器分组到单个主机操作系统内核上，以实现额外的纵深防御。
按用途、敏感性和威胁态势分割容器提供了额外的纵深防御。这种分段可以通过使用多个物理服务器来提供，但现代虚拟机管理程序也提供了足够强大的隔离来有效地降低这些风险。
资料来源： NIST SP 800-192

NIST 应用程序容器安全指南(NIST Application Container Security Guide)
NIST 建议组织应遵循以下建议，以帮助确保其容器技术实施和使用的安全性：

1. 定制组织的运营文化和技术流程，以支持容器使开发、运行和支持应用程序成为可能的新方式。
2. 使用特定於容器的主机操作系统而不是通用操作系统来减少攻击面。
3. 仅在单个主机操作系统内核上将具有相同目的、敏感性和威胁态势的容器分组，以实现额外的纵深防御。
4. 为镜像采用特定於容器的漏洞管理工具和流程，以防止受到损害。
5. 考虑使用基於硬件的对策为可信计算提供基础。
6. 使用容器感知运行时防御工具。

参考
. 什麽是容器安全？
. NIST SP 800-192（应用容器安全指南）
. 容器安全指南——你需要知道的一切
. 宠物和牛的类比展示了无服务器如何融入软件基础设施领域
. 宠物与牛的历史以及如何正确使用类比
. 弹性
. 自动化弹性

资料来源： Wentz Wu QOTD-20210408
My Blog: https://choson.lifenet.com.tw/