Docker 和 Kubernetes 等容器技術(shù)是現(xiàn)代 DevOps 流程的基礎(chǔ)。容器安全涉及保護(hù)容器、它們運(yùn)行的??基礎(chǔ)設(shè)施以及在構(gòu)建、部署和運(yùn)行時(shí)期間在其中運(yùn)行的應(yīng)用程序。另一個(gè)方面是在集群和編排器級(jí)別保護(hù)容器。

容器安全是一個(gè)挑戰(zhàn)，因?yàn)閭鹘y(tǒng)的安全工具通常與容器化環(huán)境不兼容。此外，隨著DevSecOps的出現(xiàn)，組織開始意識(shí)到將容器安全集成到整個(gè)開發(fā)生命周期中的重要性。企業(yè)容器安全必須包括專用的容器安全工具，并與組織現(xiàn)有的安全策略和流程保持一致。

為什么容器安全很重要？

隨著世界各地的組織向容器化基礎(chǔ)設(shè)施過渡，越來越多的關(guān)鍵工作負(fù)載在容器中運(yùn)行，使它們成為攻擊者的主要目標(biāo)。受損的容器可能會(huì)威脅到業(yè)務(wù)連續(xù)性、客戶數(shù)據(jù)丟失或被盜的風(fēng)險(xiǎn)，并可能使公司面臨合規(guī)風(fēng)險(xiǎn)。

容器安全的一個(gè)基本問題是容器所基于的圖像。每個(gè)容器都是從鏡像創(chuàng)建的，鏡像中的任何文件或軟件組件都由從它創(chuàng)建的所有容器繼承。如果圖像包含軟件漏洞或惡意文件，攻擊者將能夠破壞生成的容器。這使得使用來自可信來源的經(jīng)過審查的圖像變得至關(guān)重要，并在開發(fā)生命周期的所有階段掃描圖像以確保它們安全且未被篡改。

另一個(gè)關(guān)鍵問題是強(qiáng)化容器化環(huán)境。組織必須制定流程以確保環(huán)境的每個(gè)元素都具有安全、強(qiáng)化的配置。這包括：

• 容器鏡像
• 容器運(yùn)行時(shí)（如 Docker）
• 容器編排器（如 Kubernetes）
• 基礎(chǔ)架構(gòu)組件，例如云虛擬機(jī) (VM)
• 網(wǎng)絡(luò)和安全組

即使這個(gè)復(fù)雜鏈中的一個(gè)元素不安全——例如，如果容器鏡像以 root 身份運(yùn)行，或者 Kubernetes 集群沒有正確實(shí)施RBAC授權(quán)——攻擊者可以而且將會(huì)發(fā)現(xiàn)弱點(diǎn)，冒著破壞性破壞的風(fēng)險(xiǎn)。

8 大容器安全挑戰(zhàn)

以下是主要的容器安全挑戰(zhàn)：

1. 容器特權(quán)——容器應(yīng)該以非特權(quán)模式運(yùn)行，不能訪問其隔離環(huán)境之外的資源。然而，實(shí)際上，容器可以使用比所需更多的權(quán)限進(jìn)行部署，從而使整個(gè)環(huán)境面臨安全風(fēng)險(xiǎn)。
2. 不安全的鏡像——容器鏡像是構(gòu)建容器的基礎(chǔ)。圖像使您能夠重用圖像組件，而不是不斷地從頭開始構(gòu)建新的容器。但是，鏡像及其依賴項(xiàng)可能存在漏洞，當(dāng)您使用不安全的鏡像構(gòu)建容器時(shí)，會(huì)給環(huán)境帶來安全風(fēng)險(xiǎn)。
3. 無限通信——容器必須進(jìn)行通信才能實(shí)現(xiàn)其目標(biāo)。您可以通過允許容器僅與最少數(shù)量的容器通信來最小化攻擊面。但是，生產(chǎn)環(huán)境包含許多微服務(wù)和臨時(shí)容器，因此很難實(shí)施遵守最小權(quán)限原則的網(wǎng)絡(luò)或防火墻規(guī)則。
4. 運(yùn)行流氓或惡意進(jìn)程的容器——容器在龐大環(huán)境中的平均壽命可能為數(shù)小時(shí)或數(shù)分鐘，因此難以有效監(jiān)控環(huán)境。容器的快速流失使得幾乎不可能手動(dòng)監(jiān)控在任何給定時(shí)間運(yùn)行的容器進(jìn)程。它不提供識(shí)別惡意或不必要進(jìn)程所需的可見性。
5. 開源代碼——開源代碼會(huì)給環(huán)境帶來安全威脅。例如，開源組件可能包含具有已知漏洞的依賴項(xiàng)，從而使組織面臨威脅。
6. 合規(guī)性——開發(fā)環(huán)境非常快速且不斷發(fā)展。因此，實(shí)施合規(guī)性檢查變得困難。因此，您無法準(zhǔn)確評(píng)估合規(guī)狀態(tài)并確保您遵守所有相關(guān)要求。
7. 缺乏標(biāo)準(zhǔn)化——遺留安全標(biāo)準(zhǔn)包括組織難以將其應(yīng)用于容器的過時(shí)方法。因此，許多人使用多種安全標(biāo)準(zhǔn)和越來越多的工具。然而，這些標(biāo)準(zhǔn)和工具增加了復(fù)雜性而不是提供安全覆蓋。
8. 缺乏專業(yè)知識(shí)——缺乏熟練的專家和容器工具的陡峭學(xué)習(xí)曲線可能導(dǎo)致容器環(huán)境配置不當(dāng)。

容器安全工具和解決方案的類型

集裝箱監(jiān)控

容器監(jiān)控解決方案有助于跟蹤容器性能、收集事件數(shù)據(jù)并衡量容器共享資源的影響。您可以設(shè)置多種類型的監(jiān)控實(shí)踐，包括：

• 主動(dòng)監(jiān)控——涉及實(shí)施協(xié)議以幫助防止容器故障。
• 反應(yīng)性監(jiān)控——當(dāng)容器無法提醒用戶時(shí)，這些進(jìn)程會(huì)引發(fā)事件。
• 自適應(yīng)監(jiān)控——這種類型持續(xù)評(píng)估容器的性能和新組件的影響。

這些工具可幫助組織防止大規(guī)模故障并確定個(gè)別事件的原因。容器監(jiān)控工具還可以幫助優(yōu)化資源分配和軟件定義網(wǎng)絡(luò)。

容器掃描工具

容器鏡像掃描，或容器掃描，工具掃描容器及其組件以發(fā)現(xiàn)安全威脅。容器掃描工具逐層分析容器鏡像以識(shí)別潛在的安全問題。它是 DevOps 團(tuán)隊(duì)常用來保護(hù)容器化工作流程的核心容器安全實(shí)踐的核心容器安全實(shí)踐。

容器化應(yīng)用程序包括許多組件，例如開源依賴項(xiàng)、自定義代碼、圖像和 Dockerfile。掃描所有組件中的漏洞至關(guān)重要。大多數(shù)解決方案使用已知漏洞數(shù)據(jù)庫來確保組織能夠及時(shí)了解威脅形勢(shì)的發(fā)展保持最新狀態(tài)。

容器運(yùn)行時(shí)安全

容器運(yùn)行時(shí)安全性是指用于保護(hù)容器在投入生產(chǎn)后免受威脅和漏洞侵害的工具和流程。容器運(yùn)行時(shí)安全策略通常會(huì)引入一個(gè)強(qiáng)大的自動(dòng)化組件，由開發(fā)人員和安全團(tuán)隊(duì)處理容器配置和實(shí)時(shí)環(huán)境掃描以查找漏洞和配置漂移。

Kubernetes 安全

Kubernetes 是一個(gè)容器編排平臺(tái)，可以通過最大限度地減少人為錯(cuò)誤和以編程方式擴(kuò)展安全配置來幫助減少容器安全問題。然而，眾所周知，Kubernetes 非常復(fù)雜，可能會(huì)暴露于各種安全問題，從而形成一個(gè)高價(jià)值的攻擊面，攻擊者試圖妥協(xié)。

在生產(chǎn)中使用 Kubernetes 的組織必須實(shí)施 Kubernetes安全措施。Kubernetes 安全性包括旨在保護(hù) Kubernetes 平臺(tái)及其編排的容器的各種技術(shù)、技術(shù)和策略。它有助于確保容器工作負(fù)載的安全。

容器安全的最佳實(shí)踐

保護(hù)您的圖像

鏡像安全是容器安全的一個(gè)重要方面。容器是根據(jù)圖像創(chuàng)建的，這些圖像要么來自公共容器注冊(cè)表，要么由組織內(nèi)部開發(fā)。在任何一種情況下，這些圖像都可能包含漏洞。掃描所有圖像（無論其來源如何）并避免使用具有安全漏洞的圖像至關(guān)重要。

掃描所有包裹

團(tuán)隊(duì)通常認(rèn)為他們只需要掃描操作系統(tǒng)包。這是一種常見的誤解，可能會(huì)使您的環(huán)境面臨安全風(fēng)險(xiǎn)。您需要掃描容器中運(yùn)行的所有內(nèi)容，包括非操作系統(tǒng)包。

掃描是至關(guān)重要的，因?yàn)槿魏伟伎赡馨粋€(gè)漏洞，可能允許威脅參與者破壞系統(tǒng)。您必須掃描所有包，包括開源、商業(yè)、非操作系統(tǒng)和操作系統(tǒng)包。

不要以 root 身份運(yùn)行圖像

將圖像配置為使用“root”用戶運(yùn)行對(duì)開發(fā)人員來說很方便，但也會(huì)帶來嚴(yán)重的安全風(fēng)險(xiǎn)。如果圖像以 root 身份運(yùn)行，則它們執(zhí)行的任何代碼也將在 root 用戶下運(yùn)行。這意味著攻擊者者將擁有 root 訪問權(quán)限，并可以在容器內(nèi)運(yùn)行惡意進(jìn)程。原則上，內(nèi)核隔離將阻止攻擊者訪問主機(jī)操作系統(tǒng)或環(huán)境的其他部分。但是，攻擊者將能夠通過本地網(wǎng)絡(luò)利用容器可用的任何服務(wù)。

此外，具有 root 訪問權(quán)限的攻擊者可以嘗試容器突破攻擊，這可能是由多個(gè) Linux 內(nèi)核漏洞造成的。容器默認(rèn)以 root 身份運(yùn)行，因此確保所有開發(fā)過程以不使用 root 訪問權(quán)限的方式配置圖像至關(guān)重要。應(yīng)該在運(yùn)行時(shí)檢測到有風(fēng)險(xiǎn)的配置，并且不應(yīng)將使用 root 訪問權(quán)限的流氓鏡像部署到生產(chǎn)環(huán)境中。

使用薄的、短命的容器

容器被設(shè)計(jì)為短期的，應(yīng)該只運(yùn)行其工作負(fù)載所需的基本組件。這意味著容器可以比傳統(tǒng)服務(wù)器更安全：運(yùn)行時(shí)間短意味著容器更頻繁地更新，更少的組件意味著攻擊面有限。

然而，實(shí)際上，許多開發(fā)人員將容器視為服務(wù)器，一次運(yùn)行它們數(shù)周，并添加文件和組件，直到容器鏡像變得臃腫。另一種反模式是將一個(gè)容器用于多個(gè)工作負(fù)載。這種使用少量臃腫容器的趨勢(shì)不利于安全性。為確保容器安全，將容器中的文件數(shù)量減少到絕對(duì)最小值，確保每個(gè)容器運(yùn)行一個(gè)小的、特定的工作負(fù)載，并定期拆除容器以更新它們。

控制容器網(wǎng)絡(luò)訪問

控制容器發(fā)送的出口網(wǎng)絡(luò)流量是一項(xiàng)關(guān)鍵的安全措施。您可以使用跟蹤容器之間傳輸?shù)牧髁康谋O(jiān)控工具來實(shí)現(xiàn)它。這些工具會(huì)自動(dòng)確定正確的容器網(wǎng)絡(luò)表面，包括進(jìn)程和端口之間的綁定。

監(jiān)控工具可以幫助您以多種方式控制容器網(wǎng)絡(luò)訪問。它可以檢測容器與網(wǎng)絡(luò)上各種實(shí)體之間流動(dòng)的數(shù)據(jù)流量。此外，這些工具可以檢測異常以識(shí)別異常網(wǎng)絡(luò)活動(dòng)，如端口掃描或異常流量。

配置失敗重啟策略

重新啟動(dòng)標(biāo)志使您能夠定義希望每個(gè)容器如何在退出時(shí)重新啟動(dòng)或不重新啟動(dòng)。此過程需要正確配置，因?yàn)椴粩嗤顺鋈缓髧L試重新啟動(dòng)的容器可能會(huì)導(dǎo)致主機(jī)上出現(xiàn)拒絕服務(wù)(DoS)。

如果忽略容器的退出狀態(tài)并讓它不斷嘗試重新啟動(dòng)，則無法確定退出的根本原因。您必須調(diào)查容器在退出時(shí)重新啟動(dòng)的嘗試，但您不一定需要手動(dòng)執(zhí)行此操作。您可以配置 on-failure 容器重啟策略來限制允許的重啟嘗試次數(shù)。