Gartner, Inc. บริษัทวิจัยและให้คำปรึกษาชื่อดังของสหรัฐฯ ออกมายืนยันว่า การใช้ Container มีความมั่นคงปลอดภัยกว่าการให้แอพพลิเคชันรันบนระบบปฏิบัติการปกติ แนะนำให้องค์กรในปัจจุบันเตรียมพิจารณาการนำ Container ไปใช้
ใช้ Container รัน Apps ปลอดภัยกว่า
Jeorg Fritsch นักวิเคราะห์จาก Gartner ระบุในเอกสาร “How to Secure Docker Containers in Operation” ว่า Gartner ยืนยันว่าแอพพลิเคชันที่ถูกใช้งานบน Container มีความมั่นคงปลอดภัยมากกว่าใช้งานบนระบบปฏิบัติการปกติ เนื่องจากต่อให้ Container ถูกแคร็ก ความเสียหายก็จะถูกจำกัดอยู่เฉพาะที่ Container นั้นๆ สาเหตุเพราะแอพพลิเคชันและผู้ใช้ถูกแยกออกจากกันในแต่ละ Container ส่งผลให้ความเสียหายที่เกิดขึ้นไม่สามารถแพร่กระจายไปยัง Container อื่นๆ หรือระบบปฏิบัติที่รันอยู่ได้
ไม่ใช่วิธีการที่สมบูรณ์ ยังมีจุดอ่อน
อย่างไรก็ตาม Container เองก็ไม่ใช้โซลูชันที่สมบูรณ์แบบ ในเอกสารเองก็มีการระบุไว้อย่างชัดเจนว่า “คุณสมบัติด้านความมั่นคงปลอดภัยโดยธรรมชาติของ Container ทำให้มันมีช่องโหว่ต่อการถูกโจมตีแบบ Privilege Escalation บน Kernel” ส่งผลให้ Container เองก็ไม่ใช้เครื่องมือที่เหมาะสมที่สุดในการรับประกันการใช้งานที่มีความเสี่ยงสูง
แนะนำให้ใช้ Docker เพื่อปรับแต่งให้มั่นคงปลอดภัย
แม้กระนั้น เอกสารนี้ก็เชียร์ให้องค์กรหันมาใช้ Container ตามนโยบาย “Container First” และแนะนำให้พัฒนาแอพพลิเคชันที่ต้องเชื่อมต่อกับอินเทอร์เน็ตบน Docker โดยใช้ Best Practices ที่ทาง Gartner แนะนำ ไม่ว่าจะมีการใช้ CI, CD, DevOps หรือไม่ และแน่นอน จำเป็นต้องปรับแต่ง Docker ให้เหมาะสมเพื่อให้ได้มาซึ่งความมั่นคงปลอดภัย เช่น
- Harden โฮสต์ที่ Docker รันอยู่
- ใช้โซลูชันด้านความมั่นคงปลอดภัยสำหรับ Docker เช่น Aqua Security, CloudPassage, Twistlock และ Weave
- แบ่งโซนและระบบเครือข่ายอย่างออกจากกันอย่างเหมาะสม
- พิจารณการใช้ Microservice Routing
- เข้าใจการการควบคุม Kernel เพื่อให้มั่นใจว่า Container ได้สิทธิ์การเข้าถึง Kernel ในระดับที่เหมาะสม
ที่มา: http://www.theregister.co.uk/2016/07/15/containers_rated_more_secure_than_conventional_apps/