中国容器网

容器安全五大保护青藤蜂巢让容器“不裸奔”

  对于容器而言,由于底层的基础架构非常复杂,稍有不慎,就可能会带来严重的安全后果。因此,在享受容器带来便捷性红利之前,如何让容器“不裸奔”,这成为了容器推广普及一大障碍。

  当然,确保容器安全是一个持续的过程。像其他测试和质量控制措施一样,应该将安全集成到开发过程中来,尽可能实现自动化,减少手动处理的工作量,同时,安全还应该扩展到底层基础架构的运行与维护当中来。

  要保护主机安全,首先要保护主机操作系统。应尽可能使用经过优化的分布式操作系统来运行容器,例如Container Linux、RancherOS、Ubuntu Core、Google的Container-Optimized OS或RedHat Atomic等发行版本。这些发行版本都已经删除了可有可无的服务,优化了性能并减少了攻击面。如果使用常规Linux发行版或Windows系统,则通常需要禁用或删除不必要的服务并加固操作系统。

  然后添加主机安全产品,确保主机按预期状况运行,实时监控主机风险状况包括漏洞、不合规配置、弱密码等等,还需要实时进行入侵检测,在入侵行为尚未造成危害之前及时发现和响应。

  容器投入生产后,需要与其他容器和资源进行交互。进入网络的流量通常会受到其他安全控制措施的保护。部署在网络边界处的Web网关和IPS具有一定的过滤功能,可以防止发生直接攻击或尝试进行水坑攻击(先攻击某项服务,然后攻击其访问者)。

  关于容器流量的另一项安全挑战是监控和保护容器之间的流量。攻击者在系统中找到一个立足点后,就会迅速进行横向行动,扩大影响范围。比如主机A的Apache向主机B的MongoDB请求数据;同时也有可能是主机内部容器之间的流量,比如主机A内部的Apache服务器请求主机A内部的MongoDB的流量。

  为应对这类威胁,目前有两种入侵防御方案,一种是在网络边界处部署IPS设备,另一种是以软件形式在物理主机上部署入侵防御软件。但是部署在边界处的IPS无法监控主机内部容器之间的流量,部署在主机内部IPS软件,也无法对跨主机的容器之间的流量进行入侵防御。

  针对容器东西向流量入侵防御,以docker为例,目前有一种方式是在物理主机内部连接容器的网桥上设置Netfilter钩子,利用钩子截获所有进出容器的东西向流量。对截获的东西向流量进行清洗,判断所述东西向流量中的报文是否属于恶意流量。若属于恶意流量,则阻止相关连接。

  在容器部署问题,通常会使用两个关键基础设施,即私有容器镜像仓库和容器编排工具Kubernetes。

  容器镜像仓库是用于搜索、存储和分发容器的,简化了容器的共享工作,并帮助团队充分利用彼此的工作成果,提高了工作效率。为了确保每个容器都符合开发和安全基准,需要对容器镜像实时进行漏洞扫描。在将容器镜像推送到镜像仓库中去之前,要先对容器镜像进行漏洞扫描,查看是否存在已知漏洞、恶意软件以及明文秘钥,这样有助于减少下游的安全问题。此外,还需要确保镜像仓库本身也采取了良好的保护措施。镜像仓库应该运行在加固系统或信誉良好的云服务之上。

  Kubernetes是一款复杂的容器编排工具,让企业实现了应用的自动化部署,给企业带来了巨大的业务收益。从安全角度来看,Kubernetes还提供了实现许多运营和安全控制的功能。实施Pod(集群级别的资源)和网络安全策略后,可以采用不同方案来满足风险承受能力。

  在构建一款应用时,开发人员很少会从头开始。通常的做法是从一个现有容器着手,例如像Ubuntu或CentOS这样的低层容器,或者像node或nginx这样的更高层容器,或者是组织机构自定义的容器。不管选择在哪个容器上构建数据,关键是要确保构建应用的底层容器基础是安全的,不会给数据造成风险。

  从首选镜像仓库中拉取镜像部署容器时,也是如此。需要有一个相应的工作流程,确保使用的容器安全可靠,可抵御常见威胁。为此,需要进行容器镜像扫描,扫描容器的内容,查看是否存在任何问题,然后再用于构建应用。在投入生产之前,还要进行最后的安全检查。

  进行镜像扫描主要是为了查找恶意软件、已知漏洞以及任何秘钥或机密信息(例如应用程序编程接口(API)密钥和令牌),以便在继续开发应用之前降低风险。这一步可确保在安全容器基础之上构建应用。

  镜像扫描功能不仅限于确定使用的容器基础是安全可靠的,还应该成为编码流程不可或缺的一部分。这是一个完全自动化的过程,可以快速轻松地识别开发应用和容器时遇到的任何问题。在开发过程的早期阶段捕获漏洞、恶意软件或明文秘钥之类的问题,更易于解决并节省您的时间。

  虽然一旦将应用构建到容器中并部署到生产环境中,就不会再发生变化。但是,容器投入生产运行后,是会实时发生变化的。容器会产生应用数据,生成日志文件、缓存文件等等。

  安全监控软件,包括有助于确保在容器中开展的活动中是否存在一些风险。例如,如果存在漏洞,则安全引擎可以检测是否有人在尝试进行漏洞利用,并通过丢弃数据包来保护应用。

  除了容器环境之外,容器构建管道也日益成为攻击者的目标。攻击者已开始将攻击转移到持续集成/持续交付的早期阶段(CI/CD)管道。如果攻击者攻陷了容器构建服务器、代码存储库或开发人员工作站,那么攻击者就可以在组织机构的环境中驻留很长时间。因为大多数安全程序不会主动监控这些关键资源。

  对此,第一步是确保这些系统具有强大的安全控制措施,并进行随时更新。组织机构的代码通常是其最具价值的资产之一,因此,需要保护代码的安全。

  第二步是在整个管道中实施强大的访问控制策略。这可以从代码存储库和分支策略着手,一直扩展到容器存储库。这需要确保实施最小特权原则(仅提供完成任务所需的访问权限)并定期审核该访问情况。

  对于容器安全而言,从来都没有一个解决方案可以作为万能良药。尽管容器本身很简单,但容器底层的基础架构会越来越复杂。这就需要像关键资产一样,了解、监控和保护基础架构。毫无疑问,各大企业可以从容器技术中受益,但与任何新技术一样,必须制定强有力的“由外而内”安全计划,自动化实现容器以及容器构建管道的安全。

  李开表示,边缘计算拥有基于端的边缘计算、基于5G MEC的边缘计算两种形态,如今,5G边缘计算技术已被广泛应用于工业物联网和智能制造。

  从云计算技术发展的演进看,我们要承认一个事实,中国云计算市场早期是以国外企业为主导的。近年来中国云计算产业处于高速发展状态,这也体现了国外先进的经验和技术对于国

  面向公共云和私有云等云环境的IT基础设施产品(服务器、企业存储和以太网交换机)销售的供应商收入在2020年第一季度增长了2.2%,而传统的非云基础设施的投资根据IDC公司的

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。