随着Docker、Kubernetes技术的成熟,容器也成为当今最受欢迎的开发理念之一。 它是云本机概念的重要组成部分,是在云本机生态系统中部署计算和工作负载的最佳选择。 云计算基金会(CNCF )最新的云母语调查显示,96%的组织积极使用或评估容器和Kubernetes。 众所周知,容器作为APP应用的包装形式,可以以更轻、更小的开销来执行,具有可移植性、一致性、效率等优点,但并不是没有安全问题。
确保容器安全是一项复杂的活动,必须将人员、流程和技术结合起来,就像网络安全一样。 其中,人员的安全性是最重要的。 对于希望转变为使用容器的组织,必须提高现有员工的技能,并引入具有所需技能的其他人才,以确保云本机运营模式的安全性。 以下是管理容器漏洞风险的最佳做法和相关工具。 如果企业采用这些工具、实施最佳做法并遵循行业最佳做法,则在容器安全使用方面可能会接近理想状态。
将容器安全与云安全紧密关联
首先,我们需要了解容器在云环境中的作用和关系。 云的原生态系统通常包括与云安全相关的云、集群、容器和代码。 每个图层都构建在下一个图层上,哪个图层不安全会影响它下面的图层。 例如,部署在不安全容器上的APP应用程序受容器的影响。 云、Kubernetes群集或APP应用程序本身的漏洞可能会导致各自的问题。 考虑到容器作为镜像或正在运行的容器存在的状态,以及可能位于容器中的层和代码很多,确保容器的安全绝非易事。 CNCF白皮书《云原生安全》帮助读者更好地了解云的本机APP应用程序、容器及其生命周期。
加强容器可移植性防护
容器最明显的优势特征之一是可移植性,但这也是缺点。 如果漏洞混入容器中进行分发,则与将漏洞分发到使用该镜像的所有用户相同,通常在多租户体系结构中运行,因此所有正在运行的环境都可能面临危险。 这意味着,广泛可用和共享的容器镜像与开放源代码和IaC等其他问题一样令人担忧,所有这些都可能造成漏洞。 此外,容器通常由外部开发人员而不是传统的IT团队构建并分发给企业。 在这种背景下,实施最佳的安全编程和容器安全实践是一个良好的开端。
及时扫描集装箱是否存在漏洞
作为安全左移流程的一部分,在管道部署活动中必须扫描集装箱。 目前,一些基本方法是扫描连续集成/连续部署(ci/CD )管道中的容器,以防止漏洞进入运行时生产环境。 通过发现管道内容器中存在的漏洞,可以防止漏洞被引入生产环境并被不法分子利用。 与修复生产环境中的漏洞相比,它更高效、风险更小,成本也更低。 一些开源工具,如Anchore和Trivvy,另一些业务工具由主要安全制造商(如Snyk )提供。但是,扫描管内容器的镜像不是灵丹妙药。 由于容器镜像经常存储在存储库中,并且在部署到生产环境中时会处于运行状态,因此扫描这两个环境中的镜像很重要。 由于新漏洞频繁出现,因此,如果从存储库中提取以前扫描的镜像并在不重新扫描的情况下进行部署,则可能会忽略自上次扫描以来发布的新漏洞。 生产环境中存在的漏洞也是如此,因为企业访问控制机制较差,对处于运行状态的容器进行更改容易出现漏洞,所以需要识别正在运行的容器中存在的漏洞,并将正确的响应通知相应的员工进行调查和干预。
使用容器镜像签名
保护容器工作负载的另一个重要活动是镜像签名。 熟悉美国中情局(CIA )的网络安全三要素。 机密性、完整性和可用性。 容器镜像签名主要是确保容器镜像的完整性。 保证使用的容器镜像没有被篡改,是可靠的。 这可以在注册库中完成,也可以作为DevOps工作流的一部分完成。
容器镜像签名有几个工具。 最值得注意的工具之一是Cosign,它支持镜像签名、身份验证和存储,还支持硬件、密钥管理服务(KMS )和附带的公钥基础架构(PKI )等选项。 目前,无密钥签名选项也已问世,受到Chainguard等创新团队的欢迎。 无密钥签名实际上支持使用短期密钥的功能。 此密钥仅在签名活动期间有效,并与id相关联。
创建容器镜像的软件组件列表
容器也存在软件供应链的安全问题,许多组织都在为容器镜像创建软件材料列表(Software Bills Of Materials,简称“SBOM”)。 Anchore的Syft工具是典型的例子。 Syft允许组织创建用于镜像容器的SBOM作为CI/CD工作流的一部分,以深入了解在容器生态系统中运行的软件,并为可能发生的安全事件做好准备。
以前很难获得如此高的可见度,但现在情况不同,许多组织关注软件供应链的安全性,并遵从美国白宫和相关政府机构的指导,例如《网络安全行政令》。 此外,随着人们越来越关注安全开发实践,诸如NIST等组织发布了更新版《安全软件开发框架》(ssdf ),要求将SBOM用于软件版本的归档和保护等活动。 在这种背景下,软件供应链中的组件具有很高的可视性。
除了列出SBOM进行容器镜像之外,企业还必须证明NIST在《软件供应链安全指南》中有规定。 NIST要求SSDF进行证明,并要求使用SBOM。 进一步执行SBOM创新方案(如Syft ),并使用原位规范支持SBOM证明。 通过这种证明方法,签名者可以证明SBOM正确地表示了容器镜像的内容。
中文
电话咨询
微信咨询
公众号
