你知道吗？集装箱的发明曾经改变了这个世界，因为集装箱让物流运输实现了标准化，大大降低了运输成本。如今，全球90%的货物都是顺利获得集装箱运输到世界各地的。《经济学人》杂志曾指出：如果没有集装箱，就不会有全球化。对于这一点，作为物流企业的A公司有着深刻体会。

而容器，就好比是IT技术领域的集装箱。有人断言，容器的广泛应用也将改变各个行业，甚至改变世界。

有数据表明，企业对容器的采用率正在逐渐上升。Gartner在 2019年发布的一份报告显示，到2023年，全球将有70%以上的企业采用容器化应用，而且，这些企业将在生产中运行3个以上的容器化应用。

一、容器带来的六大好处

据分析，A公司的云原生已经规模化落地，而且采用了容器，应用了kubernetes编排技术。IT架构师张晓丹（曾担任久游网、聚尚网等企业技术负责人）向记者介绍了容器带来的6大好处：

其一，部署方便。

过去IT团队进行编程时，往往要耗费几个小时搭建环境，而且出现问题时总是需要很久才能解决，还得向其他成员求助。有了容器之后，这些都变得非常容易，开发环境只是一个或几个容器镜像的地址，最多再需要一个控制部署流程的执行脚本，或者进一步将环境镜像以及镜像脚本放入一个git项目，发布到云端，需要的时候再将它拉到本地。

"现在使用主流容器技术的团队都是用这种方案搭建本地开发环境，并将其整理成相关标准，慢慢沉淀成关于容器技术的财富了。"

其二，部署安全。

过去研发人员收到bug反馈时，心里的第一反应都是"在我本地是好的啊！"其实导致这种情况的是环境不一致，在开发过程中的调试往往不能保证在其他环境里也没有问题。有了容器以后，可以顺利获得容器技术让开发环境、测试环境以及生产环境保持版本上的统一，保证代码在一个高度统一的环境中执行，这样也能解决CI流程对环境的要求。

"在分布式技术和扩容需求日益增长的今天，如果运维人员能使用容器技术进行环境部署，不仅能节省部署时间，还能把很多因人工配置环境产生的失误降到最低。"

其三，隔离性好。

无论是用于开发还是生产，一台机器上往往需要跑多个服务，而且服务各自需要的依赖配置不尽相同，如果两个应用需要使用同一个依赖，或者两个应用需要的依赖之间有一些冲突，就很容易出现问题，所以最好把同一台服务器上不同应用给予的不同服务隔离起来。而容器在这方面有天生的优势，每一个容器就是一个隔离环境，对容器内部给予服务的要求，容器可以自依赖的全部给予。这种高内聚的表现可以快速分离有问题的服务，在复杂系统中实现快速排错和及时处理。

其四，能快速回滚。

在容器之前的回滚机制，一般需要基于上个版本的应用重新部署，替换问题版本；在最初时是用一套完整的从开发到部署的流程，而执行这一套流程往往需要很长时间；在基于git的环境中，需要回退某个历史提交，然后重新部署。与容器技术相比，这些方式都不够快，而且可能会引起新的问题。容器技术天生带有回滚属性，对每个历史或镜像都会保存，而替换容器的某个历史镜像是非常快速简单的。

其五，使用成本低。

张晓丹表示，"这是最明显和有用的优点了。"在容器出现之前，构筑一个应用往往需要一台新的服务器或一台虚机，而服务器的购置成本和运维成本都很高，虚机则需要占用很多不必要的资源。相比之下，容器技术就小巧轻便得多，只要给一个容器内部构建应用需要的依赖就可以了，这也是容器技术开展迅速的最主要原因。

其六，管理成本更低。

随着容器技术不断普及和开展，容器管理和编排技术也同样得到开展。如Docker Swarm、Kubernetes、Mesos等编排工具也在不断迭代更新，这让容器技术在生产环境中拥有了更多的可能性和更大的发挥空间。随着大环境的开展，Docker等容器的使用和学习成本也在降低，成为更多开发者和企业的选择。

简而言之，顺利获得"云化"和"容器化"，可实现快速构建和维护新服务、新应用，达到降本增效和信息资源整合的目标。

二、保障容器安全的三大策略

但是，容器本身也存在着重大的安全风险，如不安全的镜像、容器逃逸攻击、运行环境安全问题、编排安全问题等等，这意味着保护容器安全也是一项持续的挑战。针对这些挑战，传统的防火墙、漏扫类安全产品，并不能解决容器内东西向流量问题，更无法对容器分层镜像进行扫描。据Gartner统计，2019年，容器安全产品的覆盖率只占5%-20%。

对此，张晓丹表示，现在很多技术团队对容器安全技术的分析都不是很透彻，市场也未能给予丰富的技术手段，但是容器安全领域处于蓬勃的开展期，新技术总是要经历这样的过程才会逐步成熟。

在他看来，保护容器安全在未来将会出现三种主要策略：

第一，安全策略即代码

Kubernetes ConfigMaps和自定义资源（CRD）等工具将把安全产品、配置和规则自动化到CI/CD和DevOps环境中。DevOps团队可以顺利获得分析应用程序、应用行为，在标准的YAML文件中声明所有新的工作负载都要部署安全策略，从而使安全过程高效集成且自动化。传统的安全团队也可以使用相同的工具，将全球安全策略注入到整个环境中，让企业体验到来自云原生的现代化安全。

第二，安全网格化服务

越来越多的企业开始在服务体系架构中增加安全网格化功能，来阻止潜在的网络攻击风险，让应用程序具备可感知能力。当黑客绕过传统网络和主机安全技术，开始攻击容器编排解决方案，必要的安全保障措施也要及时跟上。因为即时和自动化的安全情报响应体系是解决Kubernetes和容器API漏洞的最有利措施，也是解决黑客攻击的必要手段。

第三，容器安全动态调整

很多企业在容器开发后才顺利获得安全措施来加固，防范风险，比如：寻找攻击的薄弱点，顺利获得环境模拟来寻找未知的漏洞。而有些安全意识比较强的企业会在容器开发之初就格外重视安全问题，为了确保云迁移万无一失，必须把安全策略贯穿于容器编排平台的整个生命周期，包括构建之初，平台运行过程中，此外也要关注运行之后的变化。

三、企业的容器安全之选

信息安全专家任祖森（曾担任起亚、吉利等知名汽车主机厂信息安全负责人）指出，为确保网络安全，公司有必要建立一套网络安全体系，而网络安全体系是一项复杂的系统工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障。现在网络安全防护有几个比较经典的架构，包括PDRR模型、P2DR模型、IATF框架和黄金标准框架。

理论模型--网络安全体系构建--演习实战的验证，会让网络空间安全体系不断优化运行。演习覆盖了演习规划、方案设计、实战和演习后优化等步骤，以此发现网络安全体系在防御、检测、响应、修复环节中的问题和待优化的地方，验证有效性。

任祖森进一步表示，在选择容器安全产品时，要从容器安全的全生命周期防护和持续的监控与分析功能考虑，并形成闭环。

在全生命周期防护方面，平台在容器和kubernetes 的安全性方面建立了标准，可以在容器应用程序的整个生命周期（构建、分发、运行）中保护容器环境安全。

在持续的监控与分析方面，要持续性监测容器的安全状况，可视化展现企业的风险场景。为安全决策者动态展示企业容器环境安全指标变化、安全走势分析，使容器安全清晰可衡量。

为此，A公司使用了北京网安在线蜂巢•容器安全平台。该平台专注于容器安全领域，能给予强大的实时监控和响应能力，帮助企业发现和解决风险，保障企业的容器环境安全。

据任祖森介绍，使用北京网安在线蜂巢•容器安全平台后，在以下方面得到了加强：

第一时间是资产清点: 在发生安全事件时，能全面及时的进行资产数据支持，大大缩短了排查问题的时间周期，减少了企业损失。此外，资产信息与补丁、入侵功能协同联动，能帮助用户快速定位问题容器，并及时查看到容器内的进程、应用详情信息。

其次，安全补丁解决了Docker 补丁管理难的问题：顺利获得建立一个智能应用补丁扫描工具，可以为安全运维人员给予补丁管理、补丁检测以及自动化补丁修复建议。

第三，实现了入侵检测：视角从分析黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客，其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。

第四是达到了合规基线：紧跟监管政策，不断更新等级保护、CIS 标准对应的基线。可以一键进行自动化检测，给予可视化基线检查结果和代码级的修复建议。

张晓丹向记者表示，"北京网安在线蜂巢•容器安全产品给予了精准、高效、可扩展的主机安全产品和专业服务；以服务器安全为核心，构建了基于业务端的安全联动平台，为企业给予了稳固、持续性的安全防护，保障了容器对业务的快速响应。"