历经这三五年，容器技术不再只是开发者尝鲜的新工具，已经逐渐于企业内部IT环境落地。不过，新兴技术是否能大幅被企业应用，安全性是当中的关键考量。近日，微软Azure下的安全中心服务（Azure Security Center），新增了三大安全功能，加强防护IaaS环境下容器的执行安全。

首先，是提升Linux主机上容器的可视度。微软表示，新增了“容器”的浏览选项，可以列出所有内有执行Docker容器的虚拟机。当虚拟机出现安全问题时，安全中心就会一并列出虚拟机里容器的信息，包含执行的Docker版本，以及该主机内映像文件的执行数目。

其次，微软也会整合网络安全中心（Center for Internet Security，CIS）针对Docker容器制定的安全标准，Azure安全中心完成扫描Docker的组态设定，会列出不符合规定的地方，并且给予改正指导，协助企业提高容器组态设定安全。

最后，是提供即时容器威胁扫描服务。微软表示，Azure安全中心整合Linux内建的审核工具AuditD，可以提供使用者即时威胁侦测功能。据该公司解释，系统会辨认Docker容器内是否有可疑活动，例如虚拟主机内新增了执行权限高的特权容器（privileged container），或者不法人士滥用资源挖矿等等。

相关报道: