容器是軟件供應鏈中增長最快、也是最薄弱的環(huán)節(jié)
Gartner預測,到2029年,超過95%的企業(yè)將在生產(chǎn)中運行容器化應用程序,較去年的不到50%大幅躍升。在五年內(nèi),35%的企業(yè)應用程序?qū)⒃谌萜髦羞\行,超過80%的商業(yè)現(xiàn)成(COTS)供應商將以容器格式提供軟件,而去年這一比例還不到30%。在創(chuàng)建云應用的企業(yè)中,容器及其協(xié)調(diào)平臺主導著DevOps和DevSecOps,而且還會加速。
然而,容器是軟件供應鏈中最薄弱的環(huán)節(jié)之一。從錯誤配置的云、容器和網(wǎng)絡配置,到在項目生命周期中誰擁有容器安全的困惑,企業(yè)都在努力控制容器安全。攻擊者正在利用容器鏡像、運行時、API接口和容器注冊表中日益增長的漏洞來利用斷開的連接。身份安全級別較低的不安全容器(如果有的話)也是內(nèi)部攻擊者的金礦。
當容器映像不安全時,攻擊者可以迅速超越最初的威脅表面,入侵整個網(wǎng)絡和基礎設施。大多數(shù)攻擊平均在277天內(nèi)無法識別,而且可能會持續(xù)更長時間,這取決于組織的監(jiān)控是否有效。
保護容器安全的十種方法可以保護供應鏈
從鏡像漏洞到容器運行時配置不安全,再到運行時軟件中的漏洞,容器經(jīng)常會因為配置薄弱或不一致而失敗。市場上沒有單一的解決方案可以解決所有這些挑戰(zhàn),它需要DevOps、DevSecOps和軟件工程方面的變更管理來幫助提高容器安全。
一個很好的起點是NIST的應用程序容器安全指南(NIST SP 800-190),它對與容器有關的潛在風險進行了深入評估,并為降低其風險提出了切實可行的建議。根據(jù)NIST的說法,“容器的使用將大部分安全責任轉(zhuǎn)移到開發(fā)人員身上,因此組織應該確保他們的開發(fā)人員擁有做出合理決策所需的所有信息、技能和工具。”NIST建議讓安全團隊能夠在整個開發(fā)周期中定義和執(zhí)行質(zhì)量。
1.先準備好容器專用安全工具。定義一個負擔得起的、可行的安全工具路線圖,專門為保護容器(如果尚未到位)而構(gòu)建。安全團隊從旨在管理漏洞、實施訪問控制和確保合規(guī)性的工具開始。這些工具包括用于漏洞掃描的Red Hat‘s Clair、用于Kubernetes圖像掃描和分析的Anchore以及用于合規(guī)性檢查的OpenSCAP。
2.實施嚴格的訪問控制。對于任何追求零信任框架的組織來說,實施對每個容器的最低特權(quán)訪問對于降低入侵風險至關重要,這尤其適用于管理員訪問權(quán)限和特權(quán)。CrowdStrike的獵鷹云安全、Ivanti的身份總監(jiān)和Portnox的云原生NAC解決方案都是在這一領域提供解決方案的供應商之一。
3.定期更新容器鏡像。與任何企業(yè)系統(tǒng)或DevOps組件一樣,保持最新的安全更新至關重要。WatchTower專門從事Docker圖像的自動更新,Podman管理符合OCI標準的容器,以及Google Cloud的Artiact Registry,它允許添加新的圖像,它們提供了工具來幫助平臺團隊確保他們的圖像是更新的和安全的。許多DevOps和DevSecOps團隊都在自動進行安全更新,以確保他們不會錯過一個。為了確保圖像的安全,養(yǎng)成定期執(zhí)行審計的習慣是個好主意。
4.自動化CI/CD管道中的安全。開始將自動化安全檢查集成到CI/CD管道中,如果它們還不能及早識別漏洞。使用容器特定的工具進行靜態(tài)代碼分析和運行時掃描是一個好主意。始終檢查以確保圖像來自受信任的注冊中心。Alert Logic以實時威脅檢測和事件響應而聞名,Anchore以其容器圖像漏洞管理而聞名,Aqua Security以全面的容器安全而聞名,這三家供應商在這一領域值得注意。
5.進行全面的漏洞掃描。任何旨在保護容器安全的工作流程都需要包括對容器圖像和注冊表的定期漏洞掃描。這些掃描的目標是識別安全風險并防止部署易受攻擊的容器。提供漏洞掃描的主要供應商包括Aqua Security、以合規(guī)性和漏洞管理而聞名的Qualys,以及以容器運行時防御和云本地應用程序保護平臺功能而聞名的SysDig Secure。
6.有效管理秘密。獲得正確的秘密管理是確保容器安全的核心領域。入侵事件的發(fā)生是因為文本機密進入了容器圖像。為了增強安全性,必須使用容器圖像簽名,以確保圖像得到驗證和信任。還建議使用來源驗證工具來幫助保護軟件供應鏈,維護軟件組件的完整性和真實性。
7.隔離敏感工作負載。對于追求零信任框架的企業(yè)來說,細分的概念是他們自然反應的一部分。在保護容器時,物聯(lián)網(wǎng)需要保持一致。根據(jù)數(shù)據(jù)的敏感程度和機密程度隔離容器。具有身份訪問管理層(IAM)和特權(quán)訪問管理層(PAM)的保險存儲容器內(nèi)容。通過分段全力以赴地保護工作負載,該分段可以適應并靈活地適應容器和Kubernetes工作流的快速變化。
8.使用不變的基礎設施。不可變基礎設施的概念是,一旦部署了服務器,它們就永遠不會被修改。如果需要更新或修復,則從帶有新添加或更改的公共映像創(chuàng)建和配置新服務器,以替換舊服務器。AWS Fargate、Docker和Google Kubernetes Engine在提供基于容器和Kubernetes的不變性基礎設施方面處于領先地位。
9.實施網(wǎng)絡策略和分段。對網(wǎng)絡流量如何流經(jīng)網(wǎng)絡獲得更好的可見性可提供正確分段所需的寶貴數(shù)據(jù)。它對于定義安全約束和提供遙測數(shù)據(jù)也是無價的,領先的供應商希望使用這些數(shù)據(jù)來訓練他們的大型語言模型。領先的供應商包括AlgoSec、思科和Check Point軟件技術(shù)公司。這些公司中的每一家都提供用于維護合規(guī)性、執(zhí)行策略和管理安全操作的應用程序和工具。
10.實施先進的容器網(wǎng)絡安全。確定網(wǎng)絡集成點可能出現(xiàn)故障或被攻擊者破壞的位置,這就是為什么需要采取額外的步驟來保護容器。超越容器本身并保護其跨網(wǎng)絡的接入點是關鍵。思科、CrowdStrike、Ivanti、Palo Alto Networks和VMware/Broadcom都將高級容器網(wǎng)絡安全作為其平臺的一部分。獲得高級容器網(wǎng)絡安全權(quán)限將采取綜合方法,單個供應商很可能無法針對企業(yè)擁有的更復雜的網(wǎng)絡配置進行擴展。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號