2016是虚拟容器行业的繁荣年,2017还会更加繁荣。整个行业增长巨大,并且保持着高速发展。容器,作为仍然相对新的一种技术,安全方面曾经困难重重,但是去年在安全领域有了很大的进展。在2016快要结束之际,让我们一起回顾下容器市场这一年里重要的里程碑,基本以时间先后为序:
二月初,Docker发布了 Docker 1.10 , 全新的Compose 版本,更容易定义并且运行复杂的分布式应用程序,搭建多种网络层以及复杂的存储配置。它为隔离系统用户提供了用户命名空间,为过滤系统调用提供seccomp profile,为Docker特性的受限访问提供了授权插件架构,这些都让其安全性向前进了一大步。
三月, Cloud Native Computing Foundation 采用了Kubernetes,自动化部署,扩展以及管理容器化应用程序的开源系统。这带来了新的商机,支持标准接口,以及完备的自动化软件的世界。
六月,Docker发布了 Docker 1.12 ,有不少更新——最重要的是将Swarm加到Docker Engine开源里,提供内建的编排能力。虽然这对很多用户来说非常有用,但是这样的举动还是带来了 巨大的争议 ,甚至有人在讨论fork项目。特别是对于那些使用Kubernetes或者Mesos的用户,这样带来的问题是Docker代码变得更加复杂,而这些特性他们根本不需要。我感觉这样的趋势“会继续”。
七月份,一位网名为‘avicoder’的安全研究员在访问Vine的Docker registry后 发现了Vine的源码 ,这些源码由于缺乏合适的配置基本上对外开放。即使是这么一家大型且注重技术的公司,Vine的平台由于忽视了基本的安全实践而造成了巨大的风险,这和Docker本身的漏洞无关,然而却也是采用新技术但没有仔细阅读手册的公司可能会犯的错误。
八月份,Docker赢来了一个重要的里程碑,它的服务 达到了50亿pull次数 。这展现了巨大的增长趋势,因为在二月份才仅仅达到20亿次的pull次数——可见这其中几个月的涨幅巨大。这样的增长暗示着软件开发行业正在意识到前方的困难。因为公司需要将很多并且越来越多的应用程序打包到单个物理的服务器上,因此创建基于容器的云数据中心对于软件即服务(SaaS)供应商来说变得越来越紧迫。
九月初,Windows 启动了Windows Server 2016 ,让用户可以在Windows Server上运行Docker容器。这是很大的进步,让容器化的软件开发不仅仅可以用在Linux或者开源服务器上。现在,Windows的开发人也可以快速构建,测试并且部署 容器化 的应用程序。
九月末,Mesosphere 发布了DC/OS 1.8 ,包含DC/OS全局容器运行时。这次重要的更新让DC/OS的用户不用依赖Docker daemon就可以部署Docker镜像。因此,DC/OS用户有了一种新的容器格式方案,可能更适合他们的需求。这是对Docker 1.12的直接反击吗?可能是哦。
容器相关的投资这两年一直在持续,31%的开发人员说在2015年使用了Docker或者容器。投资人已经注意到了这个趋势,已经有大公司 开始进入这个流行领域 了。因此,2016年,生态系统里的好些公司拿到了投资,包括我们自己——在九月底,Aqua Security 宣布 收到了Microsoft Ventures领投的900万美元的A轮投资。
11月,“Dirty COW”(Copy-On-Write)Linux内核漏洞爆发,催生了Linux社区里的大量patch。利用这个漏洞,远程黑客可以修改权限,并且写入到只读内存里,这也可以从容器内完成。在我们的 博客 里记录了容器安全的影响,博文里分享了降低风险的建议。
回顾2016年,这是虚拟容器社区激荡的一年。但是,我们也意识到前方还有很多挑战。随着虚拟容器的持续发展,并且部署到大型生产环境里,我们还会继续发现全新的安全问题,迎来独特的挑战。
原文链接: A Security Guy’s Top 10 Container Ecosystem Milestones (翻译:崔婧雯 校对:)
===========================
译者介绍
崔婧雯,现就职于IBM,高级软件工程师,负责IBM WebSphere业务流程管理软件的系统测试工作。曾就职于VMware从事桌面虚拟化产品的质量保证工作。对虚拟化,中间件技术,业务流程管理有浓厚的兴趣。