内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

专属服务器_仙剑奇侠传3百度云_稳定性好

2021-06-10 13:08 出处:欧普曼云计算 人气: 评论(0

专属服务器_仙剑奇侠传3百度云_稳定性好

编者按:这是谷歌关于容器安全的系列博客文章中的第七篇。

结束我们关于容器安全的系列博客,大数据的应用,软件企业条件,今天的文章涵盖了隔离,以及当容器适用于实际情况时,好吧。。。包含。虽然容器为您的开发管道带来了巨大的好处,并提供了一些资源分离,但它们并不是为提供强大的安全边界而设计的。

事实上,在某些情况下,您可能希望在您的环境中运行不受信任的代码。不受信任的代码存在于频谱上。一方面,你知道一个工程师正试图检查和逆向工程的恶意软件;另一方面,你可能只是有一个第三方应用程序或工具,你没有审计自己。也许这是一个历史上存在漏洞的项目,而您还没有准备好在您的环境中释放它。在上述每种情况下,您都不希望代码影响您自己工作负载的安全性。

话虽如此,让我们看看容器提供了什么样的安全隔离,如果还不够,在哪里可以找到更强大的隔离。

hypervisor为vms提供了一个安全边界,您可能已经将此不受信任的代码放在了它自己的虚拟机中,依靠hypervisor的安全性来防止进程逃逸或影响其他进程。hypervisor提供了一个相对强大的安全边界,云呢拿,也就是说,我们不希望代码能够轻易地从VM中跳出。在Google,我们使用KVM虚拟机监控程序,并在确保其安全性方面投入了大量精力。

您对代码所要求的信任程度都是相对的。处理的数据越敏感,就越需要能够信任访问它的软件。对于不能访问用户数据(或其他关键数据)的代码,您的处理方式与对活动用户会话的服务路径中的代码或具有根群集访问权限的代码的处理方式不同。在一个完美的世界中,您可以使用编写的代码访问最关键的数据,检查安全问题,并对其运行一些安全检查(例如模糊)。然后在部署之前验证所有这些检查是否通过。当然,您可能会根据代码运行的位置或者它所做的事情来放宽这些要求相同的开源工具在医院系统中可能没有足够的信任来检查关键患者信息,但在测试环境中,2018世界人工智能大会,对于您在业余时间开发的游戏应用程序来说,自助免费建站,它是足够可信的。

信任边界是指代码更改其信任级别(从而更改其安全要求)的点,"安全边界"是指您如何强制执行这些信任边界。安全边界是一组控件,跨所有表面一起管理,以防止来自一个信任级别的进程提高其信任级别并影响更受信任的进程或访问其他用户的数据。容器就是这样一个安全边界,尽管它不是一个很强的安全边界。这是因为,与hypervisor相比,本机OS容器是一个更大、更复杂的安全边界,具有更多潜在的漏洞。另一方面,容器意味着要在最小的操作系统上运行,这限制了操作系统级攻击的潜在表面积。在Google,我们的目标是用至少两个不同的安全边界来保护所有的信任边界,每个安全边界都需要失效才能跨越信任边界。

KubernetesKubernetes中的隔离层有几个嵌套层,每个层都提供一定程度的隔离和安全。在容器的基础上,Kubernetes层提供了越来越强的隔离-您可以从小处着手,根据需要进行升级。从最小的单元开始向外移动,这里是Kubernetes环境的层:

图1:Kubernetes层提供的隔离

分享给小伙伴们:
本文标签: 专属服务器仙剑奇侠百度稳定性好

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表