什么是沙箱技术？与容器有什么区别

最新推荐文章于 2024-06-07 11:54:52 发布

程序员小强_

最新推荐文章于 2024-06-07 11:54:52 发布

阅读量727

点赞数 29

文章标签： android 学习 apache

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/138782998

版权

上一篇文章讲到了万物上云时代，信任关系正在“动态清零”，企业安全管理可以引入隔离机制（也就是安全沙箱），接着上一篇文章具体谈谈安全沙箱的价值。

沙箱和容器的“隔离”机制

首先，什么是沙箱？

它本身就是一种线下生活现象的虚拟化。现实世界里，小孩子们在沙地、沙滩上用木板隔离出一个方盒子，在盒子里堆砌、创造各种东西 - 城堡、房屋、山丘… 这就是一个沙箱。它有两个根本特点：

一、它有边界，通过木板设定了游戏创造的范围只在围墙内；
二、它的游戏材料是沙，任何的创造，一抹就平，瞬间无影无踪不留痕迹。

这两个特点，在计算机世界被模拟了（套句流行语，被“数字化”了）。在一台设备（不管是一台服务器还是一个手机，我们称之为“宿主”）中，通过软硬件手段的结合，可以模拟出一个“管控”区域，它的里面是预先指定、划分出来的运算与存储资源，与宿主的其他资源完全隔离。应用代码可以被丢到这个区域里运行，即使它是病毒、木马、DDoS攻击软件，它也只能在这么一个资源受限的模拟世界折腾，它就像在Matrix里的人，看不到宿主里其他的平行世界，甚至不知道宿主的存在，无法滥用宿主资源从而毁灭宿主（和其他平行世界）。此外，任何这样的区域，既然是模拟的，不管里面跑着什么，都可以被“一键删除”，一切归零。

这就是计算机世界的沙箱。

沙箱技术有很多种类，是否能称之为“安全沙箱”，则视乎其隔离的程度和自身的技术目的。

例如能模拟出一整台服务器或者桌面电脑的虚拟机，应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏，并不能影响宿主的安全稳定运行，你也可以把这个虚拟机一键删除，不管里面安装了什么东西。

例如浏览器里面的实现，是最为普通用户所能感知的安全沙箱 - 它把远程加载的、来自不同网站的页面进行隔离，并且在运行这些包含大量不知名开源技术的代码时，还需要防范XSS攻击，保护宿主环境（让用户免受隐私泄漏、数据被盗、遭遇钓鱼诈骗、感染病毒等风险）。

容器类技术，诸如docker、LXC等，有沙箱隔离的特点，但因为共享宿主操作系统的内核，并不提供彻底全模拟的环境，所以往往并不被视为安全沙箱。

数字化的发展，“隔离”是硬道理，只是隔离粒度不同，有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码（例如一个小程序）的隔离。

为什么应用软件需要安全沙箱

空讲“数字化转型”无用，它怎么“落地变现”呢？“转型”后的企业的形态是怎样的呢？

硅谷著名投资机构Andreessen Horowitz （“a16z”）的合伙人Marc Andreessen在2011年8月20日发表过一篇影响力颇大的文章“Why software is eating the world”（《为什么软件正在吞噬世界》），十年后回顾，确实就是软件在全球社会里举足轻重、无孔不入：完全无法学习掌握PC的大妈大爷，纷纷用上了微信；街头卖煎饼果子的小贩用二维码接受电子支付；银行营业网点被手机App取代…

企业的数字化转型，就是企业员工、客户、合作伙伴全部通过软件进行生产协作、经营管理和交易买卖 - 人在哪里无所谓、见不见面不重要，只要保障了数据安全、商业隐私，就可以在网上有效经营。数字化企业，就是建立在软件上、并且管理制度与高效使用这些工具相匹配的企业。

支撑数字化的下一代企业软件是什么样子的？我认为“小程序化”、“安全沙箱化”是其中一个基石。逻辑如下：

企业的一切业务内容，表现方式就是软件化代码化。企业的数字内容资产，就是软件。
软件形态和过去不一样了，它已经彻底脱离PC时代的“单机”，它天然是网络化的、连接型的、传播式的，企业需要掌握软件的出版权、分发权、流动权、使用权。
随需随用、用完即走的“轻应用”软件形态，最符合上述要求。其中“小程序”又是轻应用类型技术中最有广泛基础、最贴近Web因此最有生命力的技术。
用户甚至不再需要去主动意识到“软件”这个概念的强存在，代码都是自动下载、看到就用到的，不再有传统观念下的安装、升级，一切都是透明的。
通过网络分发传播而下载运行的代码，永远不可信赖，它只能被关在安全沙箱这样的隔离环境里面跑，没有其他选择。
传统企业之间的资源交换与整合，它的数字化形态就是交换自己的“数字内容资产”，也就是我的平台让你的软件放进来跑一跑服务我的客户，我的软件投放到你的环境里触达一下你的客户。“你中有我，我中有你”，可是我们俩彼此在技术层面没有任何信任基础，只认技术安全，“零信任”。所以你的代码我只能放在沙箱里跑，我投放到你那边的代码，也用沙箱隔离着你的环境。
在所谓企业“内网”里，运行的一切软件，也不能保证安全，谁知道代码里面用了什么开源组件、供应链是不是已经被污染、是否随着员工随身设备“肉身翻墙”进入了防火墙内部？都得被安全沙箱关着才能运行。

例如 FinClip 等小程序容器技术，是一种云端可控的设备端（包括IoT）安全沙箱技术，它以可分发、可流通的小程序代码格式为软件形态，充当下一代企业应用软件的技术底座。

作为 Web 前端技术的“超集”，基于令牌（non-forgeable token）的安全模型，和当前“零信任架构”下的其他基础技术在最贴近用户、应用的地方能建立良好的配合。

无论接受与否，我们的“现实”世界和“虚拟”世界，都已经变得highly contagious - 病毒在这两个世界肆虐，“信任”关系却越来越难建立。技术让病毒软件化数字化了，却没有让信任数字化，而是直接把它降为零… “隔离在安全沙箱里”，将是数字化时代的“新常态”。学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段