安全漏洞是每個IT部門最擔心的問題,雲計算越流行,安全問題就越突出。
採用任何新技術,安全風險都應該是首要考慮的問題。對採用容器猶豫不決的企業,最擔心的就是現有流程和規範無法保證生產容器安全。除此之外,容器代表應用程序堆棧的一種新嘗試,這需要新的方式思考應用程序安全性。
正如傳統應用程序易受攻擊一樣,容器化應用程序和容納它們的容器也是如此,企業可以通過了解容器化可能帶來的風險來設計有效的安全策略,本文介紹了設計容器時必須考慮的五大安全因素。
隔離
早期,很多企業都會使用硬件虛擬化,更換爲容器後要注意,容器中所談的隔離與虛擬機(VM)隔離存在很大不同。當應用程序被攻擊時,VM提供的隔離可以有效限制攻擊者在應用程序堆棧內橫向移動,但容器化應用程序共享主機操作系統資源,無法做到完全隔離。但是,兩者被攻擊的概率並沒有顯著不同,只是虛擬機被攻擊後的影響範圍會相對小些。
解決隔離問題最簡單的方法就是在虛擬機上運行容器。容器的顯著好處是運行時可在任何地方運行,包括正在被逐漸拋棄的虛擬機。一些企業在虛擬機上運行容器化應用程序,以通過虛擬機隔離容器,防止攻擊者在應用程序堆棧中橫向移動以訪問屬於其他應用程序的數據。雖然此策略可以限制攻擊的嚴重性,但並不會阻止攻擊發生。
運行時
容器的動態特性引入了應用程序部署團隊必須理解和管理的新運行時複雜性,類似Kubernetes這樣的容器編排系統旨在快速提供容器鏡像的複製實例。容器化應用程序由一個或多個容器鏡像組成,這些鏡像耦合以形成應用程序所需的功能。
應用程序可伸縮性是指在給定點部署特定容器鏡像數量的函數。當新功能準備部署,應用程序所有者將創建更新策略,以確保應用程序的現有用戶不受更新影響。此更新策略定義了隨更新前滾的鏡像百分比,以及在發現錯誤時如何進行回滾。
由於容器化部署的動態特性,對惡意行爲或未授權訪問的監控變得比傳統IT環境更難,容器化應用程序通常具有在主機服務器級別共享的不同資源請求。出於這些原因,IT運營和安全團隊應成爲其開發團隊的合作伙伴,並實施信息共享以瞭解應用程序的預期行爲。
運行時安全解決方案是實時檢測和阻止其運行惡意活動的常用選項。通過監視對主機網絡調用並嘗試登錄容器,這些解決方案構建了環境中每個應用程序的行爲模型,這些行爲模型可以瞭解所期望的網絡操作和文件系統以及操作系統活動和功能。
補丁管理
大多數容器應用程序從基本鏡像創建,基本鏡像本質上是有限的、輕量級操作系統。應用程序容器鏡像將基本映像與特定於應用程序的元素(例如框架、運行時和應用程序本身)組合在一起,每個元素都是鏡像中的一層,這些層可能存在軟件漏洞,從而帶來風險。傳統應用程序安全性測試注重應用程序漏洞,而容器化應用程序安全測試必須解決圖像層內隱藏的漏洞。
開發者應該將每個容器鏡像視爲完整操作系統,並像對待虛擬機或服務器一樣識別安全問題。這些問題的補救需要不同過程,考慮到一些集羣已經達到10,000或更大規模,僅掃描容器鏡像是不夠的,企業必須積極監控任何層中新發現的漏洞,這些不會造成性能損失。
與運行時安全相比,補丁管理可以讓團隊在攻擊發生之前解決漏洞並減輕攻擊。
補丁管理的核心原則是無法修補未知漏洞。爲了保護容器,企業必須知道包含的內容,由於大多數容器鏡像源自第三方,因此瞭解鏡像組成非常關鍵,考慮到大多數容器應用程序都是基於Linux的,有效開源治理流程是識別鏡像中潛在問題的關鍵。畢竟,開源組件可以出現在整個容器鏡像中。
手動審覈
根據Forrester研究報告顯示,43%的容器用戶對其集羣進行定期安全審計,這些安全審覈包括跟蹤電子表格中已知漏洞的組件或手動測試配置等。
通常,企業在進行容器試驗時會進行人工審覈。確定哪些流程和技術適用於容器環境需要時間,這就是手動審覈的必要性。
隨着企業將更多容器應用程序投入生產,這種方法無法擴展。NIST指出使用專用安全解決方案的重要性,這些解決方案旨在根據容器集羣規模進行擴縮容,不適用於高度動態的容器化生產環境的傳統IT方法和技術可能會在應用程序安全計劃中留下空白。
開源審查
根據某開源安全和風險分析報告顯示,96%的審計代碼庫存在開源組件,每個代碼庫平均由57%的開源代碼組成,每個代碼庫發現64個開源漏洞,這比2017年增加了134%。鑑於現代應用程序對開源技術的應用規模不斷擴大,因此企業需要審查並跟蹤開源組件和相關漏洞。
但是,這項工作實在太過龐大,開發者可以嘗試從補丁層面下手。實際上,隨着應用程序的擴展,傳統補丁模型正在增加攻擊面並降低應用程序可用性。更有效的模型是將補丁視爲應用程序更新,並更新容器鏡像,然後使用更新策略部署。
結語
由於沒有一個工具可以完全保護容器集羣,因此企業應該尋求與其選擇的業務流程集成的最佳解決方案。這種模型受益於深度防禦,使用不同技術解決容器化帶來的風險。容器運行時安全解決方案可以幫助團隊監視和防止對主機的未授權調用,從而限制違規範圍。這種方法可以幫助團隊實時響應主動攻擊。對於有意降低風險以防止攻擊的人,漏洞管理解決方案可以幫助自動識別已知漏洞並將其從集羣中刪除 ,從而大規模減少潛在攻擊。
參考鏈接:
https://dzone.com/articles/strategies-and-technologies-for-container-security