容器化應用環境安全:需要進行這8條安全檢查

本文轉載自“安全牛”，原文作者為：nana
　　容器能將應用從底層基礎設施中抽象出來，令開發人員能夠將應用打包成可在不同伺服器上執行的較小模組，令應用的部署、維護和升級都更加簡單易行。　　

　　但容器化應用的安全方法與保護傳統應用環境的方法略有不同，因為容器化應用的安全漏洞更難以發現，它們所依託的系統映象往往是未經過驗證的，且容器領域的標準化仍在發展過程中。更重要的是，容器的啟用和棄用都很方便快捷，從安全形度看略有點轉瞬即逝的特點。

　　Red Hat 高階首席產品經理科斯騰·紐卡曼( Kirsten Newcomer )認為：“即便容器技術對部署它們的公司企業而言是個新概念，但其背後的理念應該是為人熟知的。”

　　在部署容器之前和應用容器的整個生命週期裡，公司企業都應考慮該應用棧的安全。“雖然容器繼承了Linux的很多安全特性，在該應用模式上仍有一些具體的問題需要考慮。”

　　以下就是公司企業在部署容器時需要檢查的8個方面內容：

　　1. 秘密管理

　　正如其他應用環境中你需要安全地管理口令、API金鑰和令牌等秘密，容器環境中也需要相應的秘密管理控制措施。

　　很多容器化應用要訪問敏感資訊，比如使用者名稱和口令，所以你的容器平臺得支援敏感資訊保安功能，比如預設加密各種秘密、在容器啟動時自動找回並注入秘密、防止容器訪問其他容器的秘密等。

　　2. 映象源

　　你得信任承載你容器應用的基礎映象。這意味著你需要知道這些映象的來源，構建映象所用的原始碼，映象的構建方式和地點，映象執行的軟體，以及映象是否含有什麼安全問題。

　　容器映象是生產環境中應用程式的基礎。公司企業需要做的最重要的事，就是確保自己的基礎容器映象是經過驗證的、可信的、受支援的。

　　在確定映象可信前一定要注意映象程式碼中是否存在什麼安全漏洞。容器映象往往是從非信任源下載的，或者不是經過企業策劃收錄的，映象完整性需受到管理和檢查。

　　3. 容器工作流可見性

　　容器和容器編配工具令安全團隊難以跟蹤應用通訊流，可能導致應用意外暴露在風險之中。

　　所以，企業使用的工具集應能驅動對容器內和容器間過程的可見性。該可見性是確保企業瞭解容器過程工作流的關鍵。

　　Docker、Kubernetes和OpenShift之類容器編配平臺也應具備容器工作流可見性，這可以帶來過程依賴性對映、策略建立及實施上的種種好處。

　　4. 標準化配置和部署

　　帶安全漏洞的容器配置可能將IT環境暴露在更高的風險之中，具有資料洩露和敏感資訊遺失的隱患。希望部署容器的企業需標準化配置和部署過程。

　　在這方面，企業應引入合規即程式碼(compliance-as-code)方法來檢查Docker主機部署是否遵從了網際網路安全中心(CIS)提供的各項標準。

　　另外，企業敏捷開發運維(DevOps)中也應整合進工具和API供開發人員和DevOps團隊使用。企業應開始保護容器收集後設資料和特定於容器部署的日誌，瞭解Kubernetes之類的新編配環境。

　　5. 發現與監測

　　想要保護容器環境，就得能夠發現和跟蹤企業範圍內的容器使用情況。企業得具備檢測諸如資源瓶頸和漏洞等潛在問題的安全控制措施。

　　有效漏洞管理、合規操作和容器原生入侵檢測/預防也是企業需要的。

　　6. 特定於容器的主機作業系統

　　NIST說，如果你想要減小自身容器環境的攻擊介面，就不要使用通用作業系統。特定於容器的作業系統摒除了無關功能和服務，是專門設計來在容器中使用的簡化版作業系統，留給攻擊者利用來入侵的機會最少。

　　7. 容器風險優先順序劃分

　　有效安全的關鍵在於劃分關鍵容器風險優先順序。來自漏洞掃描、秘密管理、編配設定、服務配置、使用者許可權和登錄檔後設資料的各項資料，可以提供與容器環境威脅相關的大量資訊和上下文。應使用這些資料標定企業環境中的最大威脅暴露面，讓開發人員可以在建立容器應用時有所注意。

　　8. 容器分組

　　不同威脅狀況的容器都放到同一個主機作業系統核心上執行，就是在提升所有應用面臨的風險。NIST建議，將按相同目的、同級別敏感度和相似威脅狀況來分組。以這種方式分隔容器能實現深度防禦，防止成功入侵了一組容器攻擊者擴大他的戰果。