容器能将应用从底层基础设施中抽象出来,令开发人员能够将应用打包成可在不同服务器上运行的较小模块,令应用的部署、维护和升级都更加简单易行。

 

但容器化应用的安全方法与保护传统应用环境的方法略有不同,因为容器化应用的安全漏洞更难以发现,它们所依托的系统镜像往往是未经过验证的,且容器领域的标准化仍在发展过程中。更重要的是,容器的启用和弃用都很方便快捷,从安全角度看略有点转瞬即逝的特点。

Red Hat 高级首席产品经理科斯腾·纽卡曼( Kirsten Newcomer )认为:“即便容器技术对部署它们的公司企业而言是个新概念,但其背后的理念应该是为人熟知的。”

在部署容器之前和应用容器的整个生命周期里,公司企业都应考虑该应用栈的安全。“虽然容器继承了Linux的很多安全特性,在该应用模式上仍有一些具体的问题需要考虑。”

以下就是公司企业在部署容器时需要检查的8个方面内容:

1. 秘密管理

正如其他应用环境中你需要安全地管理口令、API密钥和令牌等秘密,容器环境中也需要相应的秘密管理控制措施。

很多容器化应用要访问敏感信息,比如用户名和口令,所以你的容器平台得支持敏感信息安全功能,比如默认加密各种秘密、在容器启动时自动找回并注入秘密、防止容器访问其他容器的秘密等。

2. 镜像源

你得信任承载你容器应用的基础镜像。这意味着你需要知道这些镜像的来源,构建镜像所用的源代码,镜像的构建方式和地点,镜像运行的软件,以及镜像是否含有什么安全问题。

容器镜像是生产环境中应用程序的基础。公司企业需要做的最重要的事,就是确保自己的基础容器镜像是经过验证的、可信的、受支持的。

在确定镜像可信前一定要注意镜像代码中是否存在什么安全漏洞。容器镜像往往是从非信任源下载的,或者不是经过企业策划收录的,镜像完整性需受到管理和检查。

3. 容器工作流可见性

容器和容器编配工具令安全团队难以跟踪应用通信流,可能导致应用意外暴露在风险之中。

所以,企业使用的工具集应能驱动对容器内和容器间过程的可见性。该可见性是确保企业了解容器过程工作流的关键。

Docker、Kubernetes和OpenShift之类容器编配平台也应具备容器工作流可见性,这可以带来过程依赖性映射、策略创建及实施上的种种好处。

4. 标准化配置和部署

带安全漏洞的容器配置可能将IT环境暴露在更高的风险之中,具有数据泄露和敏感信息遗失的隐患。希望部署容器的企业需标准化配置和部署过程。

在这方面,企业应引入合规即代码(compliance-as-code)方法来检查Docker主机部署是否遵从了互联网安全中心(CIS)提供的各项标准。

另外,企业敏捷开发运维(DevOps)中也应集成进工具和API供开发人员和DevOps团队使用。企业应开始保护容器收集元数据和特定于容器部署的日志,了解Kubernetes之类的新编配环境。

5. 发现与监测

想要保护容器环境,就得能够发现和跟踪企业范围内的容器使用情况。企业得具备检测诸如资源瓶颈和漏洞等潜在问题的安全控制措施。

有效漏洞管理、合规操作和容器原生入侵检测/预防也是企业需要的。

6. 特定于容器的主机操作系统

NIST说,如果你想要减小自身容器环境的攻击界面,就不要使用通用操作系统。特定于容器的操作系统摒除了无关功能和服务,是专门设计来在容器中使用的简化版操作系统,留给攻击者利用来入侵的机会最少。

7. 容器风险优先级划分

有效安全的关键在于划分关键容器风险优先级。来自漏洞扫描、秘密管理、编配设置、服务配置、用户权限和注册表元数据的各项数据,可以提供与容器环境威胁相关的大量信息和上下文。应使用这些数据标定企业环境中的最大威胁暴露面,让开发人员可以在创建容器应用时有所注意。

8. 容器分组

不同威胁状况的容器都放到同一个主机操作系统内核上运行,就是在提升所有应用面临的风险。NIST建议,将按相同目的、同级别敏感度和相似威胁状况来分组。以这种方式分隔容器能实现深度防御,防止成功入侵了一组容器攻击者扩大他的战果。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-06-12 14:21:00
云技术 关于容器云部署问题
关于决定容器云测试、UAT、生产环境应该采用什么样的部署架构和方式的思考,在此进行分享。 <详情>
2017-08-15 10:25:00
云资讯 Azure云新趋势:无服务器、容器化
从降低人工任务的云新技术到诸如无服务器计算、人工智能以及容器等新兴的服务选项,Azure在过去的几个月中推出了不少新的云功能。 <详情>
2013-06-08 09:46:29
运营商 英国安全部门建议对华为设备进行安全检查
英国情报与安全委员会(以下简称“ISC”)周四敦促英国政府对华为提供的网络设备进行安全方面的检查,尤其是用于重要国家基础设施中的网络设备。 <详情>