容器數(shù)量占比
伴隨著容器的流行,它也成為黑客攻擊的對象,容器安全受到重視���。在容器安全方面,鏡像安全是保護(hù)容器安全的基礎(chǔ),鏡像掃描是解決鏡像安全問題的基礎(chǔ)手段��。針對鏡像風(fēng)險問題,有效提升鏡像掃描能力是關(guān)鍵��。
鏡像安全是基礎(chǔ)
1 鏡像風(fēng)險不容小覷
鏡像本質(zhì)上是一個將應(yīng)用程序所需的所有組件(代碼�����、配置文件、庫���、環(huán)境變量等)壓縮在一起的輕量級軟件包,是容器運(yùn)行的基礎(chǔ)���。鏡像存在著諸多不安全性,比如鏡像存在安全漏洞/未打的補(bǔ)丁、鏡像配置存在缺陷�、包含嵌入式惡意文件、運(yùn)行了未經(jīng)驗(yàn)證或不可信來源的鏡像����、鏡像構(gòu)建不規(guī)范導(dǎo)致敏感信息暴露等。由于鏡像風(fēng)險系數(shù)較高,采取鏡像掃描措施極有必要,容器鏡像的掃描能力是推進(jìn)容器安全建設(shè)的一大重要能力�����。
據(jù)研究表明,雖然很多機(jī)構(gòu)已經(jīng)意識到鏡像掃描的重要性,但是通過對7天內(nèi)掃描的鏡像的通過率和失敗率進(jìn)行抽樣調(diào)查,發(fā)現(xiàn)其中50%的鏡像未通過����。鏡像風(fēng)險問題不容小覷,鏡像掃描不僅要做,而且要做好,這成為擺在容器應(yīng)用廠商面前的一個難題�����。
2 鏡像掃描的核心能力
要執(zhí)行鏡像掃描,一方面可以借助鏡像倉庫自帶的漏洞掃描工具,比如Docker Hub和Quay等內(nèi)置的掃描器可以實(shí)現(xiàn)對鏡像的掃描�����。但是這還遠(yuǎn)遠(yuǎn)不夠,對于更深層次的鏡像風(fēng)險,做好深度的鏡像檢查仍然至關(guān)重要�����。
青藤在云原生安全領(lǐng)域已經(jīng)形成了相對成熟的解決方案:青藤蜂巢·云原生安全平臺可通過對鏡像多個階段進(jìn)行持續(xù)監(jiān)控掃描,包括鏡像構(gòu)建過程中掃描(可CI集成jenkins�����、azure等)��、鏡像倉庫中鏡像掃描���、運(yùn)行時鏡像掃描,支持單鏡像掃描、批量鏡像選中掃描�、全部鏡像立即掃描等,具體體現(xiàn)在下述幾大能力上。
● 應(yīng)用組件漏洞
鑒于漏洞的持續(xù)增長,需要持續(xù)監(jiān)測新產(chǎn)生的漏洞�。青藤蜂巢可以掃描鏡像中應(yīng)用組件的漏洞,對二進(jìn)制包進(jìn)行逐層深度掃描,快速分析漏洞所影響鏡像的分布范圍,并以可視化方式展示漏洞詳細(xì)信息,包含了漏洞類型����、嚴(yán)重程度�、漏洞描述、標(biāo)簽�、檢查腳本、修復(fù)建議等,可以更好地幫助用戶完成漏洞評估,幫助用戶查找和定位問題,為用戶漏洞修復(fù)提供指導(dǎo)��。
● 木馬病毒和Webshell
青藤蜂巢的鏡像掃描功能集成了多個病毒引擎來發(fā)現(xiàn)鏡像中的惡意文件,比如二進(jìn)制木馬����、病毒�����、Webshell等,并提供相應(yīng)惡意文件的路徑�、類型以及危險識別等信息。面對Webshell,青藤雷火引擎不依賴正則匹配,而是通過把復(fù)雜的變形和混淆回歸成等價最簡形式,然后根據(jù)AI推理發(fā)現(xiàn)Webshell中存在的可疑內(nèi)容���。
● 敏感信息
鏡像掃描時可以根據(jù)配置的敏感信息規(guī)則發(fā)現(xiàn)鏡像中存在的敏感信息�、操作,如環(huán)境變量中的用戶密碼���、鏡像中的數(shù)據(jù)文件等,在進(jìn)行告警的同時也可以把敏感信息作為阻斷規(guī)則,阻斷存在敏感信息的鏡像��。
● 歷史行為/安全溯源
鏡像掃描的歷史記錄對后期鏡像的歷史行為追蹤和重新檢測大有益處,可查看攻擊告警名稱類型��、攻擊源信息等詳細(xì)內(nèi)容����。通過溯源報告,可方便實(shí)現(xiàn)回溯攻擊過程,進(jìn)而找到不明來源的或者存在問題的鏡像,溯源分析攻擊事件,分析攻擊者的攻擊入口和攻擊路徑,為更有效的制定安全防御策略提供參考。
● 可信鏡像識別
通過設(shè)置并識別受信任的鏡像,在進(jìn)行鏡像掃描時,根據(jù)受信鏡像規(guī)則判斷鏡像是否可信,從而也可以檢查出是否存在不受信任的鏡像�����。
青藤解決方案
在容器整個生命周期如何保護(hù)好鏡像安全?青藤蜂巢·云原生安全平臺幫助用戶在Build����、Ship、Run三個環(huán)節(jié),對鏡像進(jìn)行持續(xù)性的掃描,幫助用戶快速定位問題并有效解決安全問題����。
青藤全生命周期鏡像掃描
1構(gòu)建階段
在容器生命周期的早期階段就應(yīng)該考慮到安全的影響。青藤建議在構(gòu)建階段,要刪除不必要的庫和安裝包,對鏡像進(jìn)行精簡和加固,在鏡像投入使用之前即對鏡像進(jìn)行漏洞掃描,并對鏡像倉庫中的鏡像進(jìn)行周期性掃描,規(guī)避潛在風(fēng)險�。目前來看,數(shù)據(jù)顯示74%的客戶在容器部署前就對其容器鏡像實(shí)施安全掃描。
構(gòu)建階段鏡像掃描占比圖
2分發(fā)階段
在分發(fā)階段,要注意三點(diǎn),第一要防止鏡像在傳輸過程中被篡改,比如青藤采用對鏡像添加多重簽名,在拉取鏡像時進(jìn)行校驗(yàn),確保鏡像沒被篡改過,第二要對鏡像進(jìn)行訪問控制,第三是要使用受信任的鏡像�����。
3運(yùn)行階段
在運(yùn)行階段,要確保容器運(yùn)行時安全配置,如對容器內(nèi)秘鑰進(jìn)行管理等,在生產(chǎn)環(huán)境中確保運(yùn)行時的容器不存在漏洞,如果使用了新容器,應(yīng)在第一時間進(jìn)行漏洞掃描�。
結(jié)語
容器鏡像是云原生環(huán)境中各類應(yīng)用的標(biāo)準(zhǔn)交付格式,鏡像安全是確保容器安全的基礎(chǔ),持續(xù)進(jìn)行鏡像掃描是檢查鏡像中是否存在已知漏洞的一個重要手段,對于確保鏡像安全發(fā)揮著重大作用�。青藤蜂巢·云原生安全平臺可在構(gòu)建���、分發(fā)和運(yùn)行全生命周期內(nèi)對容器鏡像進(jìn)行全方面掃描,確保容器鏡像安全����。
憑借卓越的技術(shù)表現(xiàn),青藤蜂巢·云原生平臺得到了行業(yè)的認(rèn)可,屢獲重要榮譽(yù)獎項(xiàng),包括榮獲中國信息通信研究院����、云計(jì)算開源產(chǎn)業(yè)聯(lián)盟聯(lián)合頒發(fā)的0001號可信云容器安全解決“先進(jìn)級”測評證書,入選云原生產(chǎn)業(yè)聯(lián)盟評定的“云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”,成為安全品類唯一入選平臺等,得到了行業(yè)客戶的支持。載譽(yù)前行,青藤將繼續(xù)在云原生安全領(lǐng)域不斷創(chuàng)新技術(shù),實(shí)現(xiàn)更大的跨越�。
