容器化導致許多企業和組織以不同方式開發和部署應用程序。Gartner最近的一份報告指出,到2022年,超過75%的全球組織將在生產中運行容器化應用,而2020年這一比例還不到30%。然而,雖然容器有許多好處,但如果沒有適當的安全保障,它們肯定仍然是網絡攻擊的一個來源。以前,網絡安全意味着保護一個單一的 "邊界"。通過引入新的複雜層,容器已經使這個概念過時了。容器化環境有更多的抽象層次,這就需要使用特定的工具來解釋、監控和保護這些新的應用程序。
什麼是容器安全?
容器安全是使用一套工具和策略來保護容器免受潛在的威脅,這些威脅將影響應用程序、基礎設施、系統庫、運行時間等。容器安全涉及爲容器堆棧實施一個安全環境,它包括以下內容:
容器鏡像
容器引擎
容器運行時
容器倉庫
主機
編排工具
大多數軟件專業人員自動認爲Docker和Linux內核是安全的,不會受到惡意軟件的影響,這種假設很容易被高估。
5大容器安全最佳實踐
1. 主機和操作系統安全
容器提供了與主機的隔離,儘管它們都共享內核資源。這一點經常被忽視,這使得攻擊者更難但不是不可能通過內核漏洞來破壞操作系統,從而獲得對主機的根權限。
運行你的容器的主機需要通過確保底層的主機操作系統是最新的,來擁有自己的一套安全訪問。例如,它正在運行最新版本的容器引擎。理想情況下,你需要設置一些監控,以便對主機層的任何漏洞進行提醒。另外,選擇一個 "瘦操作系統",這將加速你的應用程序的部署,並通過刪除不必要的包和保持你的操作系統儘可能的最小化來減少攻擊面。基本上,在生產環境中,沒有必要讓人類管理員SSH到主機上應用任何配置變化。相反,最好是通過IaC與Ansible或Chef等管理所有主機。這樣一來,只有編排工具可以持續訪問運行和停止容器。
2. 容器漏洞掃描
應該對你的容器或主機進行定期的漏洞掃描,以檢測和修復黑客可能用來訪問你的基礎設施的潛在威脅。一些容器倉庫提供了這種功能;當你的鏡像被推送到倉庫時,它將自動掃描它的潛在漏洞。你可以主動出擊的一種方式是通過採用 "左移 "理念在你的CI管道中設置漏洞掃描,這意味着你在開發週期的早期實施安全。同樣,Trivy將是實現這一目標的絕佳選擇。假設你想在你的內部節點上設置這種掃描。在這種情況下,Wazuh是一個可靠的選擇,它將記錄每一個事件,並根據多個CVE(常見漏洞和暴露)數據庫來驗證它們。
3. 容器倉庫安全
容器倉庫提供了一種方便和集中的方式來存儲和分發鏡像。常見的情況是,組織在其倉庫中存儲了成千上萬的鏡像。由於倉庫對容器化環境的工作方式如此重要,它必須得到良好的保護。因此,投資時間來監控和防止對你的容器註冊表的未授權訪問是你應該考慮的事情。
4. Kubernetes集羣安全
你可以採取的另一個行動是圍繞你的容器編排重新加強安全,例如防止來自過度授權賬戶或通過網絡攻擊的風險。按照最小特權訪問模式,保護艙與艙之間的通信將限制攻擊所造成的損害。在這種情況下,我們推薦的一個工具是Kube Hunter,它是一個滲透測試工具。因此,它允許你在你的Kubernetes集羣上運行各種測試,這樣你就可以開始採取措施來提高它的安全性。
你也可能對Kubescape感興趣,它與Kube Hunter類似;它掃描你的Kubernetes集羣、YAML文件和HELM圖表,爲你提供一個風險分數:
5. 密鑰安全
容器或Docker文件不應包含任何祕密。(證書、密碼、令牌、API密鑰等),但我們仍然經常看到密鑰被硬編碼到源代碼、鏡像或構建過程中。選擇一個密鑰管理解決方案將允許你在一個安全、集中的保險庫中存儲密鑰。
總結
這些是你可以採取的一些主動的安全措施,以保護你的容器化環境。這一點至關重要,因爲Docker出現的時間不長,這意味着其內置的管理和安全能力仍處於起步階段。值得慶幸的是,在容器化環境中實現體面的安全,可以通過多種工具輕鬆實現,比如我們在文章中列出的工具。
今天先到這兒,希望對雲原生,技術領導力, 企業管理,系統架構設計與評估,團隊管理, 項目管理, 產品管理,團隊建設 有參考作用 , 您可能感興趣的文章:
領導人怎樣帶領好團隊
構建創業公司突擊小團隊
國際化環境下系統架構演化
微服務架構設計
視頻直播平臺的系統架構演化
微服務與Docker介紹
Docker與CI持續集成/CD
互聯網電商購物車架構演變案例
互聯網業務場景下消息隊列架構
互聯網高效研發團隊管理演進之一
消息系統架構設計演進
互聯網電商搜索架構演化之一
企業信息化與軟件工程的迷思
企業項目化管理介紹
軟件項目成功之要素
人際溝通風格介紹一
精益IT組織與分享式領導
學習型組織與企業
企業創新文化與等級觀念
組織目標與個人目標
初創公司人才招聘與管理
人才公司環境與企業文化
企業文化、團隊文化與知識共享
高效能的團隊建設
項目管理溝通計劃
構建高效的研發與自動化運維
某大型電商雲平臺實踐
互聯網數據庫架構設計思路
IT基礎架構規劃方案一(網絡系統規劃)
餐飲行業解決方案之客戶分析流程
餐飲行業解決方案之採購戰略制定與實施流程
餐飲行業解決方案之業務設計流程
供應鏈需求調研CheckList
企業應用之性能實時度量系統演變
Openshift與Kubernetes的區別
如有想了解更多軟件設計與架構, 系統IT,企業信息化, 團隊管理 資訊,請關注我的微信訂閱號:
![MegadotnetMicroMsg_thumb1_thumb1_thu[2]](http://images.cnitblog.com/blog/15172/201503/211054051419485.jpg "MegadotnetMicroMsg_thumb1_thumb1_thu[2]")
作者:Petter Liu
出處:http://www.cnblogs.com/wintersun/
本文版權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利。
該文章也同時發佈在我的獨立博客中-Petter Liu Blog。