IBM LinuxONE更新 容器安全成重要焦点

近日，IBM对其LinuxONE企业系统进行了一次更新，旨在加强Docker和Kubernetes部署的安全组件，使该系统更接近容器主流趋势。

该更新集中在IBM LinuxONE安全服务容器，此称呼也正解释了它的主要任务：保护容器。包括加强Docker企业版的嵌入式安全，且无需更改软件。

IBM LinuxONE业务的主管马克?费利(Mark Figley)表示，该公司正把目标对准Docker和Kubernetes，因为这两种平台在希望能沿着容器的道路走下去的企业中都深受欢迎。费利说，由于担心安全方面的问题，许多企业目前仍没有全面拥抱容器。

此IBM平台包括传输和存储数据的自动加密，以及在安装和运行时的保护。

IBM LinuxONE更新 容器安全成焦点

尽管没有直接相关性，但值得一提的是，Docker公司上个月在之前支持的Windows和Linux环境的基础上上增加了EE平台对IBM Z系统的支持。此外，还允许大型主机上的客户使用一个单独的平台来控制容器，而不需要更改代码。

费利指出，这次更新开始使用IBM的逻辑分区(LPAR)安全产品，LPAR是计算机处理器的内存和存储的分区。IBM使用crypto技术和一个可信的引导序列强制一个安全映像被用于固件。

“我们从一开始就会自动加密所有数据，因此用户必须主动移除安全性，” 费利说。“这可能不是所有企业的最佳选择，但它最适合那些寻求最大安全性的企业。”

这种级别的安全性也可满足服务提供者的安全需求，包括向企业客户提供云服务的平台。

“只有企业才能访问自身放在云上的数据，”费利说。“除非企业授予访问权，否则服务提供者无法获得访问权。”

专有平台

为了提供最大安全性，费利表示IBM使用了一个专有平台，而且认为它优于其他的开源产品。

“当你从安全的角度来整合和设计解决方案时，需要做很多事情，”费利说。“有人会指出，他们可以把这些东西拼在一起，做成一个商品化的东西。但前提是任何事都得做对，不能出差错。”

费利解释说，CIO们想要避免不得不依靠必要的步骤来达到这种程度。相反，“他们想要的是一个开关就能控制的东西，而且都是安全的。”

“商品解决方案就是工程师们用胶带和铁丝网把东西打包在一起，”Figley说，“这并不像一个高度定制化设计的解决方案那样安全。”

该IBM平台还希望通过从单个层次删除对系统的主控制来简化部署问题。

Gartner最近的报告中也解释说，容器安全问题通常是由于部署方法，而不一定是技术本身。

“容器本身并不是不安全的，但它们被开发人员以一种不安全的方式部署，几乎不涉及安全团队，也没有来自安全架构师的指导，”该分析公司表示，“传统的网络和基于主机的安全解决方案对容器的认识是盲目的。”

本文转自d1net（转载）