容器化應用環境安全:需要進行這8條安全檢查
本文轉載自“安全牛”,原文作者為:nana
容器能將應用從底層基礎設施中抽象出來,令開發人員能夠將應用打包成可在不同伺服器上執行的較小模組,令應用的部署、維護和升級都更加簡單易行。
但容器化應用的安全方法與保護傳統應用環境的方法略有不同,因為容器化應用的安全漏洞更難以發現,它們所依託的系統映象往往是未經過驗證的,且容器領域的標準化仍在發展過程中。更重要的是,容器的啟用和棄用都很方便快捷,從安全形度看略有點轉瞬即逝的特點。
Red Hat 高階首席產品經理科斯騰·紐卡曼( Kirsten Newcomer )認為:“即便容器技術對部署它們的公司企業而言是個新概念,但其背後的理念應該是為人熟知的。”
在部署容器之前和應用容器的整個生命週期裡,公司企業都應考慮該應用棧的安全。“雖然容器繼承了Linux的很多安全特性,在該應用模式上仍有一些具體的問題需要考慮。”
以下就是公司企業在部署容器時需要檢查的8個方面內容:
1. 秘密管理
正如其他應用環境中你需要安全地管理口令、API金鑰和令牌等秘密,容器環境中也需要相應的秘密管理控制措施。
很多容器化應用要訪問敏感資訊,比如使用者名稱和口令,所以你的容器平臺得支援敏感資訊保安功能,比如預設加密各種秘密、在容器啟動時自動找回並注入秘密、防止容器訪問其他容器的秘密等。
2. 映象源
你得信任承載你容器應用的基礎映象。這意味著你需要知道這些映象的來源,構建映象所用的原始碼,映象的構建方式和地點,映象執行的軟體,以及映象是否含有什麼安全問題。
容器映象是生產環境中應用程式的基礎。公司企業需要做的最重要的事,就是確保自己的基礎容器映象是經過驗證的、可信的、受支援的。
在確定映象可信前一定要注意映象程式碼中是否存在什麼安全漏洞。容器映象往往是從非信任源下載的,或者不是經過企業策劃收錄的,映象完整性需受到管理和檢查。
3. 容器工作流可見性
容器和容器編配工具令安全團隊難以跟蹤應用通訊流,可能導致應用意外暴露在風險之中。
所以,企業使用的工具集應能驅動對容器內和容器間過程的可見性。該可見性是確保企業瞭解容器過程工作流的關鍵。
Docker、Kubernetes和OpenShift之類容器編配平臺也應具備容器工作流可見性,這可以帶來過程依賴性對映、策略建立及實施上的種種好處。
4. 標準化配置和部署
帶安全漏洞的容器配置可能將IT環境暴露在更高的風險之中,具有資料洩露和敏感資訊遺失的隱患。希望部署容器的企業需標準化配置和部署過程。
在這方面,企業應引入合規即程式碼(compliance-as-code)方法來檢查Docker主機部署是否遵從了網際網路安全中心(CIS)提供的各項標準。
另外,企業敏捷開發運維(DevOps)中也應整合進工具和API供開發人員和DevOps團隊使用。企業應開始保護容器收集後設資料和特定於容器部署的日誌,瞭解Kubernetes之類的新編配環境。
5. 發現與監測
想要保護容器環境,就得能夠發現和跟蹤企業範圍內的容器使用情況。企業得具備檢測諸如資源瓶頸和漏洞等潛在問題的安全控制措施。
有效漏洞管理、合規操作和容器原生入侵檢測/預防也是企業需要的。
6. 特定於容器的主機作業系統
NIST說,如果你想要減小自身容器環境的攻擊介面,就不要使用通用作業系統。特定於容器的作業系統摒除了無關功能和服務,是專門設計來在容器中使用的簡化版作業系統,留給攻擊者利用來入侵的機會最少。
7. 容器風險優先順序劃分
有效安全的關鍵在於劃分關鍵容器風險優先順序。來自漏洞掃描、秘密管理、編配設定、服務配置、使用者許可權和登錄檔後設資料的各項資料,可以提供與容器環境威脅相關的大量資訊和上下文。應使用這些資料標定企業環境中的最大威脅暴露面,讓開發人員可以在建立容器應用時有所注意。
8. 容器分組
不同威脅狀況的容器都放到同一個主機作業系統核心上執行,就是在提升所有應用面臨的風險。NIST建議,將按相同目的、同級別敏感度和相似威脅狀況來分組。以這種方式分隔容器能實現深度防禦,防止成功入侵了一組容器攻擊者擴大他的戰果。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2157087/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Java應用在docker環境配置容器健康檢查JavaDocker
- 結合 Shell 對 Koa 應用執行環境檢查
- 你的K8s 執行時環境安全嗎? KubeXray幫你保護K8s環境及應用K8S
- 守護雲原生環境,破局容器安全五大常見應用場景
- 對傳統應用進行容器化改造
- MongoDB 安全&安全檢查列表MongoDB
- GBase8a部署前環境一般檢查
- 【乾貨】Linux系統初始化環境後需要做什麼安全工作?Linux
- 如何檢測手機惡意應用?整合華為應用安全檢測,提升App使用安全APP
- 為 Node.js 應用建立一個更安全的沙箱環境Node.js
- 如何檢視Docker容器環境變數,如何向容器傳遞環境變數Docker變數
- 容器安全在野攻擊調查
- Ubuntu檢視conda環境,進入、退出環境Ubuntu
- 容器進階:執行環境的一致性
- 騰訊安全釋出《容器安全在野攻擊調查》
- 容器不是執行緒安全執行緒
- Android安全防護/檢查root/檢查Xposed/反除錯/應用多開/模擬器檢測(持續更新)Android除錯
- 保障信創雲容器環境,綠盟釋出信創領域容器安全產品
- 基於容器特點和傳統網路安全能力進行容器雲安全規劃設計
- 【唯實踐】容器環境應用一鍵拉起實踐
- 基於docker構建中介軟體容器應用環境Docker
- 非k8s環境下,進入docker某個容器內部K8SDocker
- 應用安全
- php實現自動化執行環境檢測PHP
- 移動應用安全自動化檢測方案,幫助下一個有這方面的需求的人。
- 以沙箱的方式執行容器:安全容器gvisor
- 怎麼用Jenkins配置分散式環境的安全釋出?Jenkins分散式
- 使用Kubesec檢查YAML檔案安全YAML
- 雲端計算安全需要將加密金鑰進行控制加密
- 【Fireyer】一款Android平臺環境檢測應用Android
- 無基線不安全!淺談安全基線檢查
- 讓容器應用管理更快更安全,Dragonfly 釋出 Nydus 容器映象加速服務Go
- 以沙箱的方式執行容器:安全容器Kata ContainersAI
- 使用Falcosidekick將執行時安全整合到現有環境中IDE
- 360《數字化安全》披露 關基、金融、應用安全事件頻發事件
- 產業智慧化的大江大河,需要AI安全這樣守護產業AI
- 從應用安全到程式碼安全 確保軟體安全不能忽視檢測API漏洞!API
- Android 應用安全性改進: 全面助力打造 "零漏洞" 應用Android