容器是云原生基礎(chǔ)設(shè)施的基石。它們改變了可擴(kuò)展性和速度的游戲規(guī)則，但它們的流行也為現(xiàn)代企業(yè)帶來了容器安全挑戰(zhàn)。例如，最近 AWS Elastic Container Registry (ECR) 中的一個安全漏洞可能使威脅行為者能夠?qū)阂獯a注入其他用戶的容器映像。下面，我們將詳細(xì)了解什么是容器運(yùn)行時安全、企業(yè)需要了解的五種運(yùn)行時容器安全威脅，以及改善整體工作負(fù)載安全狀況的關(guān)鍵最佳實(shí)踐和工具。

什么是容器運(yùn)行時安全？

容器運(yùn)行時安全是一組工具和實(shí)踐，可保護(hù)容器從實(shí)例化到終止。它是容器安全和工作負(fù)載保護(hù)的一個子集，負(fù)責(zé)保護(hù)容器從實(shí)例化到終止發(fā)生的所有事情。例如，容器運(yùn)行時安全處理掃描運(yùn)行中的容器是否存在漏洞，而不是掃描明文源代碼。這意味著漏洞掃描器是運(yùn)行時容器安全工具的一個示例，但SAST掃描器不是。

但是，容器運(yùn)行時安全性并不是一個孤立的概念。除了容器本身之外，保護(hù)源代碼、Kubernetes (K8s)和基礎(chǔ)設(shè)施即代碼(IaC) 是提供深度防御的重要方面，這些方面使企業(yè)容器運(yùn)行時安全工作取得成功。

企業(yè)需要了解的 5 大容器運(yùn)行時安全威脅

以下五種容器運(yùn)行時安全威脅可能會給運(yùn)行容器工作負(fù)載的企業(yè)帶來重大風(fēng)險。

未經(jīng)授權(quán)的容器部署：企業(yè)對手使用的 MITRE ATT&CK 技術(shù)列表中的Deploy Container (T1610)是容器安全威脅的一個很好的例子。使用這種技術(shù)，攻擊者部署一個容器——例如使用 Docker 的創(chuàng)建和啟動命令——繞過安全控制并啟用漏洞利用。

錯誤配置和不安全配置：不安全配置是最常見的容器安全風(fēng)險之一。例如，暴露不必要的網(wǎng)絡(luò)端口或硬編碼 API 密鑰的容器都是不安全配置的示例。

帶有惡意軟件的容器鏡像：當(dāng)企業(yè)使用公共容器注冊表時，這種風(fēng)險尤其普遍。威脅行為者可以將惡意軟件嵌入到容器鏡像中，然后將它們發(fā)布到公共注冊表中供企業(yè)使用。

權(quán)限升級攻擊：有多種權(quán)限升級攻擊可以導(dǎo)致攻擊者獲得對容器或底層主機(jī)的根訪問權(quán)限。這些攻擊通常始于利用不安全的配置或現(xiàn)有漏洞。

未修補(bǔ)的漏洞：未匹配的漏洞，如應(yīng)用程序中的訪問控制錯誤，為威脅參與者提供了破壞容器的更簡單途徑。

如何查找和修復(fù)容器安全運(yùn)行時風(fēng)險

與shift left security的概念一致，早期檢測是有效容器運(yùn)行時安全的關(guān)鍵。理想情況下，企業(yè)應(yīng)該在容器實(shí)例化發(fā)生之前就檢測到威脅。然而，這并不總是實(shí)用的。這就是運(yùn)行時掃描和威脅檢測發(fā)揮作用的地方。一旦檢測到威脅，理想的情況是它會以智能限制誤報的方式自動修復(fù)。對于其余情況，應(yīng)迅速提醒安全專業(yè)人員采取糾正措施。

5 個運(yùn)行時容器安全最佳實(shí)踐

以下五個最佳實(shí)踐可以幫助企業(yè)有效發(fā)現(xiàn)和修復(fù)容器運(yùn)行時安全風(fēng)險。

僅運(yùn)行受信任的容器鏡像：僅運(yùn)行來自安全存儲庫的受信任容器鏡像可以限制實(shí)例化不安全鏡像的風(fēng)險。

實(shí)施持續(xù)漏洞掃描：時間點(diǎn)安全檢查很有用，但還不夠。為了領(lǐng)先于不斷變化的威脅，企業(yè)應(yīng)該持續(xù)掃描工作負(fù)載以進(jìn)行實(shí)時威脅檢測。

以低權(quán)限用戶運(yùn)行容器：企業(yè)應(yīng)避免以 root 用戶身份或使用Docker –privileged 標(biāo)志運(yùn)行容器。通常，容器不需要 root 訪問主機(jī)環(huán)境，因此使用 root 違反了最小特權(quán)原則。同樣，–privileged 標(biāo)志繞過重要的安全控制。

不要啟用可寫文件系統(tǒng)：容器通常是短暫的。啟用可寫文件系統(tǒng)為攻擊者編寫和執(zhí)行惡意代碼創(chuàng)造了可能性。

集中和自動化可見性和策略執(zhí)行：手動監(jiān)控和保護(hù)容器是不可擴(kuò)展的。它還容易出現(xiàn)人為錯誤。企業(yè)應(yīng)該盡可能利用工具來集中和自動化容器安全和策略的可見性。

有效的容器運(yùn)行時安全需要整體方法

容器運(yùn)行時安全性并不存在于真空中。例如，IaC 安全性和容器運(yùn)行時安全性是齊頭并進(jìn)的。為了保持強(qiáng)大的安全態(tài)勢，企業(yè)需要實(shí)施在整個軟件開發(fā)生命周期 (SDLC) 中集成安全性的整體解決方案。這意味著能夠跨云實(shí)現(xiàn)企業(yè)范圍的可見性和安全性并在企業(yè)運(yùn)行容器的任何地方提供安全性的工具對于現(xiàn)代工作負(fù)載和運(yùn)行時保護(hù)至關(guān)重要。