2024年4月8日发(作者:)

网事

计算机与网络

■崔滔

容器和沙箱是在谈论恶意软件防护时经常提到的2个术

语,很多企业想知道哪种方法最好,答案是二者相结合。但是

很多企业可能负担不起或缺乏部署这2种方法的专业技能

为了找到适合企业需求的最佳选择

,重要的是要了解

如何使

用它们。

在谈论沙箱和软件容器之间的区别前

,需要先了解一些

事情。现在,大多数企业已经将应用程序容器和虚拟化用于很

其中包括:

多不同目的,其中很多与安全性息息相关

使用VM在虚拟数据中心或IaaS中运行安全工具;

使用虚拟机管理程序功能(例如快照)来帮助支持配置管

理和修复

使用容器来支持微服务和服务网格架构;

同时使用VM和容器来支持DevOps工具链中安全活动

的自动化

将探讨如何使用这

些工具来专门支不过,在这篇文章中,

持沙箱。几年前,沙箱开始流行,当时大家意识到恶意软件仍

防病毒

的问题在于

然可能绕过防病毒软件并感染网络

所有

系统都需要在计算机上安装基于签名的代理,并且必须定期

更新它们,为端点提供机会来抵御恶意软件。由于防病毒并不

能捕获所有内容———即使保持其更新并安装在工作站

,于

沙箱的使用开始增加

VM沙箱安全模型

从本质上讲,沙箱是关于创建隔离的独立环境,可将其用

例如

FreeBSD。对于反恶意软件

,可以使用

于特定安全目的,

隔离的沙箱引爆恶意软件样本以查看其行为

。通过

运行可疑

恶意软件样本并观察其行为,可以观察攻击方法,以了解你为

在未知软件

的情况下

,可以使用此

方法来确何成为攻击目标。

定文件是否可以安全地在托管端点运行。

如果

该软件不执行

则可以将其

中继给最终用户

。同

样,任何恶意操作,对于可疑

可以使用此

技术来进一步研究,的恶意软件样本

这可以让你

知道是否为复杂攻击活动的目标,还是只是被机器人或脚本

小子随机地作为目标。

虚拟机管理程序提供2个功能,使此技术更安全

。首先,

我们使用虚拟化,

它们以无孔方式执行分段。在现代环境中,

这意味着分段边界至关重要。考虑到现在很多企业使用多租

户IaaS,很可能看到数据被窃取或者尝试跨VM分段边界的

攻击,例如企业可以从同一虚拟机管理程序上窃取数据、破坏

或以其他方式攻击其他VM。其次,虚拟机监控程序让我们有

例如,它可以防止

工选择地限制或阻止VM可以执行的操作。

作负载在网络上发送或接收数据,或者可以使用快照将损坏

的VM恢复到已知可靠状态

在这种方式下

,基于虚拟机

的沙箱依赖于多个虚拟机来

捕获流量,使其进入和流出网络,并充当恶意活动检测的检查

点。这种沙箱的目的是获取未知文件,并在其中一个VM中引

爆它们,以确定该文件是否可安全安装。由于恶意软件作者可

以使用多种逃避技术来使文件看起来安全,因此这并不总是

万无一失的解决方案,但确实可提供额外的防御。

容器沙箱安全模型

可以使用的另一种方法是软件容器。现在有多种不同的

部署模式。Docker和Rocket等工具可创建隔离的应用程序环

境,分段是在OS级别执行,在这种情况下使用Linux名称空

间和cgroup。某些操作系统中还内置了基于容器的配置

例如

Linux中的chrootjails或Windows的WindowsSandbox。

从使用的角度来看,可以将容器中的所有内容指定为始

该环境不会

影响基础终不受信任,从而创建单独的隔离环境

该容器中的所有东西都

被认为具有主机。在这种使用情况下

潜在风险。而且容器不会尝试确定文件是否损坏,它只是阻止

恶意软件活动传播或破坏基础主机

。例如,

担心用户容易受到

偷渡式下载攻击或其他虚假活动攻击

。一种

方法是在应用程

并在用户

的浏览会话完成后清除沙箱

序沙箱中运行浏览器

用户收集的任何潜在恶意软件都会与沙箱一起清除。

当采用这种方式时,

软件容器不会使用

防病毒产品类的

只是限制攻击所

影响的范围

签名。它们不会阻止攻击

因为

容器是围绕特定应用程序而构建,以隔离攻击防止攻击扩散

到操作系统的其他部分

在很多时候,这种方法会让容器将沙箱带到端点

。你不必

担心下载的文件的内容,只需要让用户使用完应用程序后将

其重置为良好状态。

沙箱与容器的使用注意事项

在可能的情况下

究竟是使用沙箱还是容器

这很难选择,

最好二者同时使用。

型的基于VM的沙箱方法可能涉及系

统在可疑文件通过沙箱是进行挑选与传统的防病毒软件相

因为

它不需要安装代理即可查找签名

,反过

比,这很吸引人

来,这意味着它有可能找到并正确标记没有先兆的恶意软件

样本

另一个用例是使用软件容器在高风险应用程序(例如用

40

计算机与网络

网事

■步才捷

智慧矿山……在近

日开幕的世界电自动驾驶、黑灯工厂

信和信息社会日大会上,5G赋能产业数字化转型的新应用展

据了解,我国已建成

5G基站80多万个,示,让观者新奇不已

5G正快速融入千行百业,带来了产业效率的提升

5G快速

融入千行百业

大会展览区的屏幕上显示

,数十台

无人驾驶的纯电动运

操作矿区

输车在矿区忙碌,挖掘机司机在办公室手握操纵杆

该公司运

的挖掘机进行装卸。这是河南洛钼集团的采矿场景

5G让矿山作业更高效、

更安全,

用5G技术建成了智慧矿山

有效地改善了工人的劳动环境。”中国电信河南分公司工业客

户中心总监曹全兴说。

洛钼集团的智慧矿山只是5G融入千行百业的一个缩影。

我国

5G应用创从世界电信和信息社会日大会上可以了解到

形成系统的

新案例已超过9000个,5G正快速融入千行百业

领先优势。

5G云网融合”

各电信运营商积极入局

。中国电信发挥

为传统产业赋能注智

。中国移动全面实施

5G计划,推动

5G融入百业、服务大众。中国联通将5G作为引领发展的战略

牵引,已打造300多个5G灯塔项目。

“我国

5G网络发展领5G赋能产业离不开基础网络支撑

先,截至2021年3月底,我国建成5G基站81.9万个,占全球

”工业

70%以上,已经建成全球规模最大的5G独立组网网络

和信息化部副部长刘烈宏在大会上说。根据国际测速机构

3月份数据,我国移动网络速率在全球排名第4位,固定宽带

速率在全球排名第16位

让传统产业增效提质

由单车自动驾驶<10km/h提升至5G编队自动驾驶时的

30km/h,矿卡编队运输时长可由16h提升至24h。编组带来

了效率提升和危险岗位人数减少,危险岗位从原来的230人

减少到110人,成本减少1000万元以上

这是河南能化焦煤集团千业水泥项目5G改造后的成绩

业水泥项目5G改造,

自动编组和无人

单。是通过远程控制、

且户的浏览器)周围创建隔离墙。这种方法通常比较繁琐,

依赖于端点和/或应用程序的配置。

为了确定哪种工具最适合,请尝试确定当前哪个区域对

你的环境构成最大的风险,并确定这些选项中的哪一个将为

你提供最大的前期保护。如果希望加强对电子邮件恶意软件

5G驾驶场景,实现露天矿区铲、装、运的全程现场无人操作。

技术具有大带宽、低时延、广连接的特点,远程控制、无人驾驶

低时延的应用。”中国

电信集团等应用场景主要是对大带宽

工业行业事业部二部总裁陆晋军说。

业内专家认为

5G国际标准是分不同版本

、梯次导入我

进而决定了

国的,标准导入的阶段性决定了产业化的阶段性

低时延、广连接的

5G融合应用将分阶段满足各行业大带宽、

应用需求

5G技术应用丰富

中兴通信首席发展官崔丽说

如果与

人工智能、区块链等技术交织,还会产生聚变效应。当前对产

业的影响表现在增效提质上,未来可

能会对一些行业

进行重

塑。

融合应用需协同攻坚

是我国

5G规模化应用的关键期

5G推动数字“十四五

发展潜

产业化发展的同时,将有力提升我国产业数字化水平

力巨大。预计到2025年

5G将带动约1.2万亿元的网络建设

直接

带动经济增加值2.93万投资

拉动8万亿元的信息消费

亿元。

业内专家认为,在推进行业数字化转型进程中,5G必须

与行业特有的技术、知识和经验紧密结合

,融合应用非常复

杂、难度很大,不能指望浅尝辄止,需多方协同攻坚克难打硬

仗,必须持续发力、久久为功

要加强规

刘烈宏认为,持续增强我国5G系统领先优势,

划引领,系统化推进5G应用发展。夯实产业基础,提升网络供

拓展

给能力、产业创新水平和安全保障能力。

丰富

融合应用,

重点行业应用,提炼典型应用场景。优化生态环境,加强相关

方政府的统筹协调,

增强市场能动性,

部门

打好“团体赛

打造

5G高水平开放体系

,培育

全球化开放合加强国际合作,

作新生态。

还应持续扩大

5G基站的覆盖率,

陆晋军、崔丽等认为

培育一批

5G系统集成商和服务定5G场景应用的行业规范

形成充满活力的

5G商业环境

商,鼓励企业探索商业新模式,

的抵御,在这种情况下,集成到电子邮件网关中的基于VM方

法可能是不错的选择。如果是想减少偷渡式下载等攻击,在这

种情况下,软件沙箱可能更适合

哪种架构最适合你的环境取决于你的架构

,但是了解容

器和沙箱之间的区别无疑是第一步。

41