如果希望在软件基础架构中使用基于容器的应用程序，您可能需要记住此技术带来的安全风险。为了提供帮助，我请DevOps研究所的大使们考虑一下他们对容器编排的安全顾虑。以下是他们分享的内容：

容器编排最常见的安全问题之一是它共享主机操作系统和主机内核。因此，它引起了一种担忧，即主机操作系统或内核漏洞可能会在容器中被利用和利用。最近对Linux的mmap系统调用的攻击就是一个例子。尽管您可以通过使用定义的最佳实践来避免这种情况，但值得注意的是，主机操作系统中的任何妥协都可能危及该主机中的容器。此场景与虚拟机（VM）形成对比，在虚拟机中，来宾操作系统、主机操作系统和内核不共享公共二进制文件，因此本质上是分离的。

类似地，恶意进程、正在运行的易受攻击的容器映像以及orchestrator中的安全漏洞都可以为攻击者提供一种进入门户的方法。例如，如果容器被设计为以root权限运行，则攻击者在业务流程主机上运行漏洞扫描程序将快速找到易受攻击的容器。

用户应遵循保护容器编排平台中运行的容器的最佳做法，例如提供Linux安全模块，该模块可强制执行策略，以防止恶意容器或用户从主机系统提取敏感数据。”

首席全球服务解决方案架构师Supratip Banerjee表示，“容器为云安全带来了新的挑战。虽然这些结构是动态的和自动化的，但也存在新的威胁向量，原因与容器的用途完全相同。DevOps和SecOps团队必须意识到这些可能的问题并做好准备：

•与虚拟机不同，容器共享其执行所在的主机操作系统。如果未正确维护设置，主机和容器可能会面临安全问题。

•编排自动化增加了一定程度的复杂性，这可能导致错误配置，从而过度提供访问，从而扩大攻击面。

•容器是使用保存在公共或私人存储库中的图片构建的；它们通常依赖于其他图像，其中任何一个图像中的单个缺陷都可能传播到数千个容器中。

•由于容器是短暂的，基于IP地址的安全措施无效，使法医调查复杂化。”

VVnT红杉联合创始人兼董事帕文•阿罗拉说， “如果您的项目涉及到容器的使用，您将应用程序分解为各种组成服务，这些服务虽然有益，但不一定像您使用VM那样安全。由于Docker等容器平台从主机借用代码库，因此它们基本上不如VM安全。容器环境中的漏洞因此，环境可能允许恶意软件从容器中冲出并感染主机环境。”

Opsera产品工程和开发主管Vishnu Vasudevan说，“安全挑战，特别是在容器编排方面，是人们认为他们可以启动自己的映像，或者他们可以从云端下载映像并开始使用它。这并不像大家认为的那么容易。每分钟都会引入漏洞。你需要一个安全工具和流程，可以自动扫描每一个被拆分的容器。此外，团队需要围绕蓝绿色部署创建共享实践，或者回滚正在推送到生产环境中的容器更改。

仅从这次大流行来看，我们就看到了显著的云移动，但平均每天都会引入50个漏洞。事实上，有人只是在等待漏洞，以便执行恶意脚本。有些人，特别是从事采矿的人，试图了解云帐户和pen中的漏洞etrate让他们为自己的云挖掘目的运行大型容器。平均来说，检测任何漏洞或入侵系统都需要280天。

使用容器的公司必须考虑威胁漏洞管理作为其编排策略的一部分。你认为团队有足够的经验来扫描一天50个漏洞并修复它们吗？可能没有，因为发布速度缩短了一个或两个星期的版本周期，以供现代应用程序的主动性。技术债务可以迅速积累，这就是为什么在移动到云时必须考虑威胁漏洞策略和流程的原因。”