了解《101文檔:容器安全的關(guān)鍵指標(biāo)》完整版,關(guān)注微信公眾號(hào)「青藤云安全」�����。
(一)常見(jiàn)的容器安全威脅
容器安全需要綜合使用工具���、策略和流程來(lái)遏制安全威脅,并應(yīng)用于容器的整個(gè)生命周期��,包括了構(gòu)建過(guò)程�����、運(yùn)行時(shí)環(huán)境和平臺(tái)(Kubernetes和主機(jī)操作系統(tǒng))�����。第一章分析了容器環(huán)境中的安全類型�、普遍關(guān)注的安全風(fēng)險(xiǎn)以及應(yīng)該采取的降低風(fēng)險(xiǎn)的必要步驟�。
·構(gòu)建環(huán)境安全
開(kāi)發(fā)軟件和構(gòu)建容器環(huán)境的過(guò)程應(yīng)該成為確保容器安全的起點(diǎn)。構(gòu)建過(guò)程是最容易被植入惡意代碼的環(huán)節(jié)�����,比如低級(jí)錯(cuò)誤的源代碼�、錯(cuò)誤配置腳本、不安全的庫(kù)和代碼等�。
·運(yùn)行時(shí)安全
除了容器鏡像和應(yīng)用程序外,容器本身也可能存在安全問(wèn)題�����。當(dāng)啟動(dòng)或管理的容器本身包含漏洞時(shí),如果不及時(shí)加固�、修補(bǔ),則會(huì)導(dǎo)致“容器逃逸”發(fā)生�����,讓攻擊者獲得容器或主機(jī)操作系統(tǒng)的訪問(wèn)權(quán)限���,產(chǎn)生一系列的安全風(fēng)險(xiǎn)���。
·操作系統(tǒng)安全
在容器化堆棧的最底層,主機(jī)操作系統(tǒng)是最關(guān)鍵的攻擊目標(biāo)���,一旦受到威脅�,可能會(huì)暴露其上運(yùn)行的所有容器��。底層操作系統(tǒng)的安全性一直是一個(gè)重大問(wèn)題����,比如正確的配置,以限制每個(gè)容器對(duì)其所需資源的訪問(wèn)��。
·編排管理安全
以Kubernetes為代表的容器編排工具,其重點(diǎn)在于支持容器集群的可擴(kuò)展性和易于管理性����,但不能確保安全性,存在著諸如不安全的默認(rèn)配置���、權(quán)限升級(jí)��、代碼注入漏洞等安全問(wèn)題�����。
(二)確保構(gòu)建環(huán)節(jié)安全
DevOps打破了不同部門之間的障礙,運(yùn)維和安全團(tuán)隊(duì)獲得了更多訪問(wèn)權(quán)限��,這就要求更好的安全控制措施來(lái)限制誰(shuí)有權(quán)限更改構(gòu)建環(huán)境和更新代碼����,任何變更都需要經(jīng)過(guò)審計(jì)和驗(yàn)證。CI/CD管道構(gòu)建安全分為應(yīng)用程序安全性和用于構(gòu)建部署應(yīng)用程序的工具安全性����。
·構(gòu)建安全
在構(gòu)建環(huán)節(jié)提供了確保容器構(gòu)建安全的建議,包括Docker和其他平臺(tái)的工具����、用戶自動(dòng)化和編排源代碼�、Docker引擎和鏡像倉(cāng)庫(kù)等�����。
·容器驗(yàn)證和安全測(cè)試
對(duì)容器內(nèi)執(zhí)行代碼和擴(kuò)展組件進(jìn)行測(cè)試�,驗(yàn)證是否符合安全和運(yùn)營(yíng)實(shí)踐,是確保容器安全的核心����,比如安全單元測(cè)試、代碼分析��、漏洞分析����、加固等。
(三)確保運(yùn)行時(shí)安全
本章重點(diǎn)關(guān)注生產(chǎn)環(huán)境中的容器安全���,包括將哪些鏡像推送至鏡像倉(cāng)庫(kù)�、容器運(yùn)行時(shí)及底層主機(jī)系統(tǒng)的安全性���。
·運(yùn)行時(shí)安全
運(yùn)行時(shí)容器安全是有效安全態(tài)勢(shì)的先決條件�。運(yùn)行時(shí)階段的安全需要注意控制面、資源使用分析���、建立可信的鏡像�����、不可變鏡像��、容器存活時(shí)間���、輸入驗(yàn)證、容器組隔離等角度�����。
·平臺(tái)安全
主機(jī)級(jí)別的攻擊面可以通過(guò)傳統(tǒng)的基于主機(jī)的解決方案來(lái)保護(hù)��,而容器內(nèi)攻擊面需要使用更深度的防御方法進(jìn)行處理���。運(yùn)行時(shí)的容器自身安全包含了主機(jī)操作系統(tǒng)加固和基于節(jié)點(diǎn)的命名空間隔離、按信任級(jí)別隔離工作負(fù)載等方法���。
·編排工具安全
編排工具和所有相關(guān)的系統(tǒng)服務(wù)也要在運(yùn)行時(shí)受到保護(hù)�,k8s等編排管理工具雖然具備一些安全功能,但也需要對(duì)管理面�、限制發(fā)現(xiàn)、升級(jí)補(bǔ)丁��、日志記錄等進(jìn)行有效的安全管理�����。
·Secrets 安全
了解需要控制哪些身份驗(yàn)證和授權(quán)信息�����,了解如何配置���、存儲(chǔ)和管理以簡(jiǎn)化Secrets 管理的整體過(guò)程至關(guān)重要���。如果配置合理,Secrets 管理會(huì)讓整個(gè)容器環(huán)境更加安全���。
(四)容器監(jiān)控和審計(jì)
通過(guò)對(duì)容器進(jìn)行持續(xù)性監(jiān)控��,可以確?�;A(chǔ)架構(gòu)活動(dòng)的可追溯性���。容器審計(jì)是生產(chǎn)環(huán)境必不可少的安全和合規(guī)措施�。
·監(jiān)控
衡量容器安全監(jiān)控方案的常見(jiàn)指標(biāo)包括部署模型���、策略管理����、行為分析���、管控能力�、平臺(tái)支持等���。
·審計(jì)和合規(guī)
審計(jì)和合規(guī)團(tuán)隊(duì)通過(guò)操作日志�、配置數(shù)據(jù)和流程文檔���,可以查找違規(guī)����、錯(cuò)誤配置和異?��;顒?dòng)軌跡�����,對(duì)安全漏洞進(jìn)行取證追蹤���。
(五)寫在最后
在容器環(huán)境中,從開(kāi)發(fā)到生產(chǎn)都需要持續(xù)性的保護(hù)�。通過(guò)綜合采用最佳實(shí)踐、現(xiàn)有對(duì)策和新興技術(shù)���,可以采取多種方法來(lái)有效確保容器安全���。
