搞容器,必須考慮這五大安全要素

2021-09-17 20:13:22 字數 2254 閱讀 7719

安全漏洞是每個it部門最擔心的問題,雲計算越流行,安全問題就越突出。

採用任何新技術,安全風險都應該是首要考慮的問題。對採用容器猶豫不決的企業,最擔心的就是現有流程和規範無法保證生產容器安全。除此之外,容器代表應用程式堆疊的一種新嘗試,這需要新的方式思考應用程式安全性。

正如傳統應用程式易受攻擊一樣,容器化應用程式和容納它們的容器也是如此,企業可以通過了解容器化可能帶來的風險來設計有效的安全策略,本文介紹了設計容器時必須考慮的五大安全因素。

早期,很多企業都會使用硬體虛擬化,更換為容器後要注意,容器中所談的隔離與虛擬機器(vm)隔離存在很大不同。當應用程式被攻擊時,vm提供的隔離可以有效限制攻擊者在應用程式堆疊內橫向移動,但容器化應用程式共享主機作業系統資源,無法做到完全隔離。但是,兩者被攻擊的概率並沒有顯著不同,只是虛擬機器被攻擊後的影響範圍會相對小些。

解決隔離問題最簡單的方法就是在虛擬機器上執行容器。容器的顯著好處是執行時可在任何地方執行,包括正在被逐漸拋棄的虛擬機器。一些企業在虛擬機器上執行容器化應用程式,以通過虛擬機器隔離容器,防止攻擊者在應用程式堆疊中橫向移動以訪問屬於其他應用程式的資料。雖然此策略可以限制攻擊的嚴重性,但並不會阻止攻擊發生。

容器的動態特性引入了應用程式部署團隊必須理解和管理的新執行時複雜性,類似kubernetes這樣的容器編排系統旨在快速提供容器映象的複製例項。容器化應用程式由乙個或多個容器映象組成,這些映象耦合以形成應用程式所需的功能。

應用程式可伸縮性是指在給定點部署特定容器映象數量的函式。當新功能準備部署,應用程式所有者將建立更新策略,以確保應用程式的現有使用者不受更新影響。此更新策略定義了隨更新前滾的映象百分比,以及在發現錯誤時如何進行回滾。

由於容器化部署的動態特性,對惡意行為或未授權訪問的監控變得比傳統it環境更難,容器化應用程式通常具有在主機伺服器級別共享的不同資源請求。出於這些原因,it運營和安全團隊應成為其開發團隊的合作夥伴,並實施資訊共享以了解應用程式的預期行為。

執行時安全解決方案是實時檢測和阻止其執行惡意活動的常用選項。通過監視對主機網路呼叫並嘗試登入容器,這些解決方案構建了環境中每個應用程式的行為模型,這些行為模型可以了解所期望的網路操作和檔案系統以及作業系統活動和功能。

大多數容器應用程式從基本映象建立,基本映象本質上是有限的、輕量級作業系統。應用程式容器映象將基本映像與特定於應用程式的元素(例如框架、執行時和應用程式本身)組合在一起,每個元素都是映象中的一層,這些層可能存在軟體漏洞,從而帶來風險。傳統應用程式安全性測試注重應用程式漏洞,而容器化應用程式安全測試必須解決影象層內隱藏的漏洞。

開發者應該將每個容器映象視為完整作業系統,並像對待虛擬機器或伺服器一樣識別安全問題。這些問題的補救需要不同過程,考慮到一些集群已經達到10,000或更大規模,僅掃瞄容器映象是不夠的,企業必須積極監控任何層中新發現的漏洞,這些不會造成效能損失。

與執行時安全相比,補丁管理可以讓團隊在攻擊發生之前解決漏洞並減輕攻擊。

補丁管理的核心原則是無法修補未知漏洞。為了保護容器,企業必須知道包含的內容,由於大多數容器映象源自第三方,因此了解映象組成非常關鍵,考慮到大多數容器應用程式都是基於linux的,有效開源治理流程是識別映象中潛在問題的關鍵。畢竟,開源元件可以出現在整個容器映象中。

根據forrester研究報告顯示,43%的容器使用者對其集群進行定期安全審計,這些安全審核包括跟蹤電子**中已知漏洞的元件或手動測試配置等。

通常,企業在進行容器試驗時會進行人工審核。確定哪些流程和技術適用於容器環境需要時間,這就是手動審核的必要性。

隨著企業將更多容器應用程式投入生產,這種方法無法擴充套件。nist指出使用專用安全解決方案的重要性,這些解決方案旨在根據容器集群規模進行擴縮容,不適用於高度動態的容器化生產環境的傳統it方法和技術可能會在應用程式安全計畫中留下空白。

根據某開源安全和風險分析報告顯示,96%的審計**庫存在開源元件,每個**庫平均由57%的開源**組成,每個**庫發現64個開源漏洞,這比2023年增加了134%。鑑於現代應用程式對開源技術的應用規模不斷擴大,因此企業需要審查並跟蹤開源元件和相關漏洞。

但是,這項工作實在太過龐大,開發者可以嘗試從補丁層面下手。實際上,隨著應用程式的擴充套件,傳統補丁模型正在增加攻擊面並降低應用程式可用性。更有效的模型是將補丁視為應用程式更新,並更新容器映象,然後使用更新策略部署。

由於沒有乙個工具可以完全保護容器集群,因此企業應該尋求與其選擇的業務流程整合的最佳解決方案。這種模型受益於深度防禦,使用不同技術解決容器化帶來的風險。容器執行時安全解決方案可以幫助團隊監視和防止對主機的未授權呼叫,從而限制違規範圍。這種方法可以幫助團隊實時響應主動攻擊。對於有意降低風險以防止攻擊的人,漏洞管理解決方案可以幫助自動識別已知漏洞並將其從集群中刪除 ,從而大規模減少潛在攻擊。

搞容器,必須考慮這五大安全要素

安全漏洞是每個it部門最擔心的問題,雲計算越流行,安全問題就越突出。採用任何新技術,安全風險都應該是首要考慮的問題。對採用容器猶豫不決的企業,最擔心的就是現有流程和規範無法保證生產容器安全。除此之外,容器代表應用程式堆疊的一種新嘗試,這需要新的方式思考應用程式安全性。正如傳統應用程式易受攻擊一樣,容...

搞容器,必須考慮這五大安全要素

安全漏洞是每個it部門最擔心的問題,雲計算越流行,安全問題就越突出。採用任何新技術,安全風險都應該是首要考慮的問題。對採用容器猶豫不決的企業,最擔心的就是現有流程和規範無法保證生產容器安全。除此之外,容器代表應用程式堆疊的一種新嘗試,這需要新的方式思考應用程式安全性。正如傳統應用程式易受攻擊一樣,容...

搞容器,必須考慮這五大安全要素

安全漏洞是每個it部門最擔心的問題,雲計算越流行,安全問題就越突出。採用任何新技術,安全風險都應該是首要考慮的問題。對採用容器猶豫不決的企業,最擔心的就是現有流程和規範無法保證生產容器安全。除此之外,容器代表應用程式堆疊的一種新嘗試,這需要新的方式思考應用程式安全性。正如傳統應用程式易受攻擊一樣,容...