容器安全平台2.0的发布，旨在进一步辅助应用容器流量隔离和添加对秘密管理的新支持。

容器技术已提供了多种形式的隔离来保证应用工作负载安全与隔离。Aqua Security 首席技术官兼共同创始人阿米尔·杰尔比称，额外的隔离是必要的，也就是其公司如今发布的容器安全平台(CSP)2.0。

Aqua Security 在2016年5月率先发布了CSP，号称可以扫描容器内的已知和未知安全问题。随着新的2.0版本发布，Aqua展现的是其称为“纳米隔离”的容器隔离和整体安全提升能力。

纳米隔离就是创建区域的能力，有了这个能力，我们就能确保容器的通信范围限定在区域之内。

区域可被定义为容器到容器的通信，运行在同一台主机系统或在不同机器上都可以。区域也可扩展至定义非基于容器的服务。比如说，未必需要运行在容器中的外连数据库应用容器工作负载。

“我们可以自动创建动态区域，确保容器仅能与指定区域内的成员进行通信。”

包括Docker在内的容器技术，已经具备了各种各样的隔离能力，从Linux上的用户名字空间控制，到以seccomp实现的策略驱动控制。Seccomp是集成到Linux内核主线的一项技术，提供细粒度的安全控制。用户名字空间可为Docker上运行的单个应用和进程提供可见性与控制。另外，从联网角度出发，不同组的容器可用软件定义联网(SDN)策略进行隔离。

杰尔比评价道，在理想世界，所有IT工作负载都将通过容器提供，只不过，当前现实情况尚未达到而已。现有容器的安全隔离能力大部分是特定于容器部署的，而非仍属于应用投送过程一部分的其他非容器元素。

“我们提供必要的安全控制，以确保容器只能连接授权服务。”

从联网角度，Aqua的CSP运行在容器主机操作系统上，连接网桥或重叠网络。有了网络可见性，CSP便能检查容器的所有进出流量，以便进行决策。策略会基于所观测到的容器行为自动创建。

我们的方法是零接触的，用户无需创建任何东西，不用定义任何策略语言。我们在幕后定义了所有的容器互动，并能呈现给用户。

容器的潜在安全风险之一，就是特定流氓容器应用可以从隔离环境中“逃逸”，攻击系统中的其他服务。Aqua的技术不仅仅查找已知漏洞，而是探查映射给定容器的已知良好行为。如果容器做了什么不正常的动作，CSP就会封锁该动作。

秘密

CSP 2.0 的新功能，还包括了与Hashicorp的开源秘密管理技术Vault的集成。在Linux容器环境中，秘密被定义为出于安全考虑而应保持私密的项，比如口令、安全密钥和访问令牌。Vault项目于2015年5月启动，逐渐成为流行秘密管理工具。

Docker自身也有秘密管理API，最近在1月20号发布的 Docker 1.13 版中有了改善。Aqua的技术目前尚未直接与Docker的原生秘密管理技术集成。

容器安全技术市场有多家厂商在竞争，包括Docker、CoreOS和Twistlock等等。杰尔比相信，自己的公司因其广阔的视角和纳米隔离，而鹤立于其他公司之间。展望未来，Aqua的计划是，与Kubernetes等容器编配平台进行更好的集成，扩展CSP。

容器安全最初的关注点，在于漏洞扫描。我们现在关心的，是以自动化的方式保护用户部署的运行时和工作负载。