Un contenitore sicuro è un pacchetto software leggero ed eseguibile che è stato isolato da altri software o processi in esecuzione sullo stesso host virtuale o fisico. Lo scopo della containerizzazione (nota anche come sandboxing) è impedire a intrusi e codice dannoso di interagire con altre applicazioni e dati in modo non autorizzato.
Ad esempio, in un contesto di sicurezza mobile, un contenitore sicuro potrebbe essere costituito da un'area logica dello smartphone di un dipendente in cui le applicazioni e i dati aziendali sono isolati dai dati e dalle app personali del proprietario. Questo approccio all'utilizzo di contenitori protetti nella gestione dei dispositivi mobili (MDM) è noto anche come doppia persona.
Oggi, i problemi di sicurezza e isolamento per i container sono una priorità assoluta per i fornitori del settore che hanno suddiviso le loro applicazioni in servizi e microservizi. Le strategie per mantenere i container sicuri includono la riduzione delle superfici di attacco nelle immagini dei container, evitando l'uso di immagini di container pubbliche e implementando i controlli di accesso basati sui ruoli (RBAC) per limitare i privilegi.
Le strategie di sicurezza del contenitore cercano di limitare ciò che un utente root del contenitore può fare al di fuori del contenitore o dell'host su cui viene eseguito il contenitore. Mentre la maggior parte delle tecniche più note nella sicurezza dei container limita l'accesso degli aggressori agli host e ad altri sistemi back-end da istanze di container compromesse, gli esperti avvertono che anche la prevenzione dell'accesso non autorizzato alle interfacce di programmazione delle applicazioni (API) è fondamentale.
Il mercato degli strumenti per container sicuri è ancora emergente e la selezione e l'individuazione dello strumento giusto possono essere difficili, soprattutto quando i grandi team di sicurezza e DevOps condividono la responsabilità per le applicazioni containerizzate. Ad esempio, la decisione se utilizzare Trend Micro o Twistlock può ridursi al fatto che il cliente preferisca che la sicurezza del contenitore sia un set di funzionalità di un prodotto SIEM (Security Information and Event Management) più completo o rimanga un prodotto dedicato che è il unico obiettivo dell'esperienza del fornitore di servizi di sicurezza.