了解《101文檔:容器安全的關(guān)鍵指標(biāo)》完整版,關(guān)注微信公眾號「青藤云安全」�。
(一)常見的容器安全威脅
容器安全需要綜合使用工具���、策略和流程來遏制安全威脅,并應(yīng)用于容器的整個生命周期���,包括了構(gòu)建過程����、運行時環(huán)境和平臺(Kubernetes和主機(jī)操作系統(tǒng))��。第一章分析了容器環(huán)境中的安全類型���、普遍關(guān)注的安全風(fēng)險以及應(yīng)該采取的降低風(fēng)險的必要步驟�����。
·構(gòu)建環(huán)境安全
開發(fā)軟件和構(gòu)建容器環(huán)境的過程應(yīng)該成為確保容器安全的起點����。構(gòu)建過程是最容易被植入惡意代碼的環(huán)節(jié)����,比如低級錯誤的源代碼����、錯誤配置腳本����、不安全的庫和代碼等�����。
·運行時安全
除了容器鏡像和應(yīng)用程序外�,容器本身也可能存在安全問題。當(dāng)啟動或管理的容器本身包含漏洞時�,如果不及時加固、修補(bǔ)���,則會導(dǎo)致“容器逃逸”發(fā)生�����,讓攻擊者獲得容器或主機(jī)操作系統(tǒng)的訪問權(quán)限�,產(chǎn)生一系列的安全風(fēng)險�����。
·操作系統(tǒng)安全
在容器化堆棧的最底層,主機(jī)操作系統(tǒng)是最關(guān)鍵的攻擊目標(biāo)��,一旦受到威脅��,可能會暴露其上運行的所有容器���。底層操作系統(tǒng)的安全性一直是一個重大問題�,比如正確的配置����,以限制每個容器對其所需資源的訪問。
·編排管理安全
以Kubernetes為代表的容器編排工具�����,其重點在于支持容器集群的可擴(kuò)展性和易于管理性��,但不能確保安全性����,存在著諸如不安全的默認(rèn)配置、權(quán)限升級����、代碼注入漏洞等安全問題。
(二)確保構(gòu)建環(huán)節(jié)安全
DevOps打破了不同部門之間的障礙,運維和安全團(tuán)隊獲得了更多訪問權(quán)限����,這就要求更好的安全控制措施來限制誰有權(quán)限更改構(gòu)建環(huán)境和更新代碼�����,任何變更都需要經(jīng)過審計和驗證����。CI/CD管道構(gòu)建安全分為應(yīng)用程序安全性和用于構(gòu)建部署應(yīng)用程序的工具安全性。
·構(gòu)建安全
在構(gòu)建環(huán)節(jié)提供了確保容器構(gòu)建安全的建議����,包括Docker和其他平臺的工具、用戶自動化和編排源代碼��、Docker引擎和鏡像倉庫等���。
·容器驗證和安全測試
對容器內(nèi)執(zhí)行代碼和擴(kuò)展組件進(jìn)行測試�����,驗證是否符合安全和運營實踐����,是確保容器安全的核心,比如安全單元測試�����、代碼分析�����、漏洞分析�、加固等。
(三)確保運行時安全
本章重點關(guān)注生產(chǎn)環(huán)境中的容器安全�,包括將哪些鏡像推送至鏡像倉庫、容器運行時及底層主機(jī)系統(tǒng)的安全性��。
·運行時安全
運行時容器安全是有效安全態(tài)勢的先決條件��。運行時階段的安全需要注意控制面���、資源使用分析��、建立可信的鏡像�����、不可變鏡像�、容器存活時間、輸入驗證���、容器組隔離等角度�。
·平臺安全
主機(jī)級別的攻擊面可以通過傳統(tǒng)的基于主機(jī)的解決方案來保護(hù)���,而容器內(nèi)攻擊面需要使用更深度的防御方法進(jìn)行處理。運行時的容器自身安全包含了主機(jī)操作系統(tǒng)加固和基于節(jié)點的命名空間隔離�����、按信任級別隔離工作負(fù)載等方法�。
·編排工具安全
編排工具和所有相關(guān)的系統(tǒng)服務(wù)也要在運行時受到保護(hù),k8s等編排管理工具雖然具備一些安全功能��,但也需要對管理面��、限制發(fā)現(xiàn)�����、升級補(bǔ)丁�����、日志記錄等進(jìn)行有效的安全管理。
·Secrets 安全
了解需要控制哪些身份驗證和授權(quán)信息�����,了解如何配置����、存儲和管理以簡化Secrets 管理的整體過程至關(guān)重要。如果配置合理�,Secrets 管理會讓整個容器環(huán)境更加安全。
(四)容器監(jiān)控和審計
通過對容器進(jìn)行持續(xù)性監(jiān)控�,可以確保基礎(chǔ)架構(gòu)活動的可追溯性�����。容器審計是生產(chǎn)環(huán)境必不可少的安全和合規(guī)措施��。
·監(jiān)控
衡量容器安全監(jiān)控方案的常見指標(biāo)包括部署模型����、策略管理、行為分析���、管控能力�����、平臺支持等����。
·審計和合規(guī)
審計和合規(guī)團(tuán)隊通過操作日志、配置數(shù)據(jù)和流程文檔�����,可以查找違規(guī)�、錯誤配置和異?�;顒榆壽E�����,對安全漏洞進(jìn)行取證追蹤���。
(五)寫在最后
在容器環(huán)境中��,從開發(fā)到生產(chǎn)都需要持續(xù)性的保護(hù)��。通過綜合采用最佳實踐����、現(xiàn)有對策和新興技術(shù),可以采取多種方法來有效確保容器安全��。
