虽然云和容器的崛起,容器成了日常。容器的安全要求也随之而来,如何确定一个最适合业务的容器安全保障是大家最关注的问题。本文我们就来通过DevOps生命周期来全面考虑容器安全和各阶段的安全策略,更详细的工具介绍可以参考虫虫之前的文章从DevOps到DevSecOps,贯穿始终的安全栈。
创新互联专业为企业提供老城网站建设、老城做网站、老城网站设计、老城网站制作等企业网站建设、网页设计与制作、老城企业网站模板建站服务,十多年老城做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
[[357975]]
DevOps生命周期
每个安全计划都会受到可实施安全控制措施的限制,DevOps生命周期是以下各项的无限迭代:计划、编码、构建、测试、发布、部署、运维、监控
在应用程序中容器以Dockerfiles的形式来表达,但实际上Dockerfiles并不是容器的一部分(计划和编码)。从安全性的角度来看,容器安全主要涉及以下三部分,六个阶段:
每个安全策略只有在可以实施的情况下才有效。每个部分中的各个步骤可以实施安全控制措施:
构建时安全
在容器构建时,输入了一堆源文件和一个Dockerfile,输出为Docker镜像。该阶段有很多安全和云厂商提供了很多安全方案和镜像安全扫描工具。容器安全扫描非常重要,是的,光镜像扫描还远远不够。本部分的安全目标是最小化供应链攻击的风险。
1. 基础镜像的安全
首先,检查镜像的基础,重点是检查要引入的依赖项:
所有这些检查都是静态的,可以很容易在构建管道编写检查语实现。
2. 容器镜像扫描
然后,下一步就是扫描容器镜像。
不要在构建管道中扫描镜像,而是在容器注册表中设置连续扫描。
漏洞可能早就存在,如果在构建时才检查有点迟了。其次,构建是叠加的:每个构建都会生成一个新镜像。因此,通过扫描信任注册表,发布的每个标签都可以信任,而无需重复在每次构建时候都检查。最后由于镜像扫描需要时间,如果在构建时候扫描会影响构建的性能。
也可以考虑定义补丁程序管理和保质期流程:
Docker基础设施安全
容器基础结构由所有移动部件组成,这些部件负责从注册表中提取镜像并将其作为容器在生产环境中运行。
主要是容器编排器有 kubernetes,Swarm。
本部分的目标有两个:避免由于平台配置错误带来安全隐患;最小化来自受感染容器的攻击扩展。
1. 配置错误
容器编排器非常复杂,特别是K8S。截至目前,它们还没有实现DevOps的承诺。每个复杂的平台都容易配置错误,这是我们要关注的部分。
必须对基础架构进行威胁建模,以确保其不会被滥用。这个特定的线程模型应该专注于每个角色,但容器除外。取决于运行情况。对于K8S而言,这进行威胁建模的一个很好的起点。
也可以使用托管平台,可以与(受信任的)供应商一起使用共享责任模型,则可以降低复杂性。
2. 横向扩展
接下来,我们要将讨论容器被破坏时会发生什么。我们希望最大程度地减少攻击者横向扩展的能力,重点是两个方面:网络和身份和访问管理。
容器网络图省事而放通设置。可以先将所有内容严格划分为子网,然后逐步发展为完整的服务网络。
在IAM层上,朝着每个容器具有单一标识的方向进行操作,以微调授权授权。这在多租户平台中尤其重要:没有精细的身份,就不可能获得最低特权。
容器基础不变的,可以通过周期性关闭旧容器,新起容器的方法,避免长期运行的容器来减少攻击者横向扩展并获得持久性注入点。
本部分可以使用的开源工具有Habitat.sh,firejail等。
3. 运行时安全
最后一方面是正在运行的工作负载的安全性。本阶段目标是尽量减少从受损的容器的攻击。
4. 检测和事件响应
控制攻击影响的最佳方法是最大程度地减少从漏洞发生到安全团队收到警报的时间。
检测到持续的违规行为是有大量供应商大量解决方案的领域。有许多方法,其中大多数将需要边缘节点和守护程序集来主动监视pod的流量和系统调用。
建议是快速开始并反复进行迭代完善:使用现有的SIEM,提取平台,应用程序和审核日志。
肯定会有事件发生,然后对其进行响应处理,积累经验:
时常考虑这样的问题:"下次如何更快地检测到这种况?"这能使我们识别盲点,然后将其用于了解缺失的环节以及建立更完善的策略。
本部分可以使用的开源工具有Sysdig falco, OpenSCAP,Grafeas等。
[[357977]]
结论
容器安全性是一个广泛的问题,而不仅仅是扫描镜像。通过建立并用于推理容器风险和解决方案的模型才能全面完整的考虑到所有方面,当然和所有模型一样,需要不断实践迭代完善,才能建立完善的容器安全模型。
文章名称:基于DevOps的容器安全优秀实践
文章出自:http://www.csdahua.cn/qtweb/news29/283329.html
网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网