我們不僅要更早地發(fā)現(xiàn)和修復(fù)容器漏洞,更要監(jiān)測生產(chǎn)環(huán)境中的應(yīng)用程序,確保這些程序在部署后也能保持安全�����。在運行時階段����,青藤蜂巢還會自動檢測正在運行的容器,對容器的任何操作執(zhí)行最低權(quán)限的要求����,確保鏡像的不變性,杜絕未經(jīng)授權(quán)的鏡像部署����、惡意代碼注入、篡改�����、非法數(shù)據(jù)泄露以及各類攻擊等安全風險�。
【“很多安全產(chǎn)品在部署前可能也會提供容器鏡像掃描能力�,但是很少有產(chǎn)品能夠從開發(fā)到部署無縫保證安全,青藤蜂巢的漏洞檢測和識別準確性高��,鏡像掃描效率高����,并能夠掃描生產(chǎn)中運行的容器,支持整個CI/CD管道中的漏洞掃描��,完全做到在整個應(yīng)用程序生命周期中提供容器和云原生應(yīng)用程序的安全性����?!薄?/p>
此外�,青藤蜂巢·云原生安全平臺在提高該企業(yè)漏洞修復(fù)效率方面也有明顯的效果,相較于傳統(tǒng)掃描工具的流程�����,該企業(yè)過去需要用將近1小時的漏洞掃描已經(jīng)縮減到6分鐘�,效率提升10倍,并且還將會有更大的提高����。
【透過該互聯(lián)網(wǎng)企業(yè)的云原生安全實踐經(jīng)驗來看,當涉及到鏡像安全保護時��,我們要注意這幾個細節(jié)的關(guān)鍵點:
?在基礎(chǔ)鏡像構(gòu)建階段即啟動鏡像掃描���,使用數(shù)字簽名來驗證鏡像的真實性
?優(yōu)先選擇從最小的基礎(chǔ)鏡像進行構(gòu)建
?盡早�、持續(xù)性地檢查鏡像是否存在漏洞問題�����,創(chuàng)建受信任的基礎(chǔ)鏡像
?已經(jīng)通過所有安全檢查的基礎(chǔ)鏡像����,在創(chuàng)建新鏡像時也需要再次掃描
?在軟件全生命周期的多個節(jié)點進行掃描:CI/CD���、鏡像倉庫及集群運行時容器等】
重要價值
在經(jīng)歷了容器化部署和應(yīng)用青藤蜂巢·云原生安全平臺之后,該企業(yè)已經(jīng)朝著云原生安全的方向邁出了重要一步:憑借貫穿整個應(yīng)用開發(fā)生命周期的安全性���,該互聯(lián)網(wǎng)企業(yè)的容器基礎(chǔ)設(shè)施安全保護得到有效保障����,實現(xiàn)了降本增效�����。
了解更多NIST《容器安全指南及解決方案》�����,可關(guān)注公眾號「青藤技術(shù)服務(wù)」�。
