容器安全平台如何構建？基於DevSecOps有兩種方法！

容器安全平台讓開發人員多大程度參與進來，這是個問題。

容器安全平台已經開始激增，但是企業可能不得不在選定保證容器工作負載安全的工具之前，仔細觀察 DevSecOps 的趨勢是什麼。

11月發布的兩個容器安全平台（一個由新興企業提供，一個由成熟企業安全廠商提供）採用不同的方法。

初創公司 NeuVector 在 DevOps 企業峰會2017上推出企業版，它支持集成到持續集成和持續交付（ CI / CD ）流水線中的代碼和容器掃描功能，但是其實施不需要改變開發者的工作流程。

相比之下，來自更為成熟的安全軟體供應商 CSPi 的 Aria Software Defined Security 產品允許開發人員控制是否將庫插入容器和虛擬機鏡像，從而執行安全策略。

當然，這些容器安全平台之間存在許多重疊。

NeuVector 盯著 CSPi 的企業客戶基礎，還增加了對非容器工作負載和 Lightweight Directory Access Protocol （輕量級目錄訪問協議）的支持。

軟體定義的安全包括NeuVector主要關注的策略執行的網路微分段功能。開發人員將軟體定義的安全代碼注入伺服器鏡像，但其實他們並不希望成為安全專家。企業IT安全專業人員設置由軟體定義的安全所強化的策略，以及一系列通過軟體定義的安全庫的集成過程來指導開發人員的嚮導。

兩家供應商同意這樣的觀點：採用DevOps流水線的現代IT基礎設施可以實現快速的應用程序更改交付，這要求安全路徑與傳統的漏洞檢測和修補技術完全不同。

451 Research分析師Jay Lyman表示，用戶對容器的新安全技術存在明確需求——更少地依賴虛擬機基礎設施層來強化網路邊界，而這樣可能會否定容器帶來的一些好處。

然而，雖然業界大量討論需要「左轉」並讓開發人員參與IT安全實踐，但對大多數組織而言，將開發人員和安全人員集中在一起都是說起來容易做起來難。

容器安全平台遇到DevSecOps成長的痛苦

隨著NeuVector和CSPi產品的更新推向市場，DevOps企業高峰會（DOES）上的企業IT專業人士表示，目前很少有企業使用容器，對容器安全性的討論還遠遠不夠。

在容器被廣泛使用的時候，DevSecOps可能會更加成熟，這可能會有利於CSPi的實踐開發者戰略。但是現在，開發人員和IT安全仍然嚴重分裂。

KPMG LLP的風險顧問Joan Qafoku表示：「每個人都需要保持安全意識，但要求開發人員學習安全並將其整合到自己的工作流程中，我不明白這怎麼做得到。」Joan Qafoku與一個位於西雅圖的大型企業客戶的IT團隊合作。Qafoku沒有透露這個客戶的名稱，只介紹這個客戶給了開發者一個聚焦安全的調查問卷，但是在他們的流程中，關於安全的整合併沒有更進一步。

NeuVector具有集成到CI / CD流水線而無需更改應用程序代碼或開發人員工作流程的能力，這被德國國際外包服務公司Arvato的安全架構師Tobias Gurtzick認為是主要賣點。

儘管如此，Gurtzick在DOES之前接受採訪時說，這種集成在NeuVector產品的早期版本中並不完美。Gurtzick的團隊每兩分鐘就會調用一次API來觸發容器和代碼掃描。

NeuVector1.3版本包含了一個新的webhooks通知功能—— 作為持續集成測試的一部分，它可以更「優雅」地觸發代碼掃描，而無需輪詢API的性能開銷。Gurtzick認為，這是新版本最重要的特性。

他還指出，新版本增加了對可用於取證分析的詳細網路會話快照的支持。軟體定義的安全在第一個版本中提供了類似的功能。

Lyman說，儘管Gurtzick等容器安全平台的早期採用者已經解決了關於開發人員和IT安全如何將安全性應用於應用程序的爭論，但隨著企業還在探索這種合作，總體市場成型的速度有點緩慢。

Lyman說：「越早將安全注入到開發過程中越好，但通常這還是會落在IT運維人員和安全人員身上。DevOps挑戰的一部分就是將這些責任與應用程序開發結合起來，最終，我們會看到更多的開發人員參與安全性，但這需要時間，而且這個過程可能會非常痛苦。」