容器是云原生應(yīng)用界一項(xiàng)迅猛發(fā)展的技術(shù)。就像計(jì)算系統(tǒng)一樣，容器由軟件程序包組成，而這些軟件程序包含有所有必要的組件，比如用于從任何地方運(yùn)行應(yīng)用程序所需的二進(jìn)制代碼、文件和庫(kù)。

容器是輕量級(jí)的，開發(fā)運(yùn)維（DevOps）團(tuán)隊(duì)使用它們來(lái)開發(fā)應(yīng)用程序和部署服務(wù)。此外，組織還使用容器來(lái)部署和擴(kuò)展DevOps基礎(chǔ)架構(gòu)，比如持續(xù)集成/持續(xù)交付（CI/CD）工具。報(bào)告顯示，到2022年，組織可能在容器上運(yùn)行24%的工作負(fù)載。

然而，盡管容器有諸多好處，但這并不意味著它們就是完全安全的。一項(xiàng)研究顯示，87%的組織在生產(chǎn)環(huán)境中部署了容器，而94%的組織至少遇到過(guò)一次安全事件。另一項(xiàng)研究發(fā)現(xiàn)，由于容器安全問(wèn)題，45%的組織已推遲或放慢了應(yīng)用程序部署工作。

所有這些問(wèn)題可能導(dǎo)致組織放慢轉(zhuǎn)型步伐，蒙受財(cái)務(wù)上和聲譽(yù)上的損失。為了避免此類情況，組織需要了解云容器威脅，并學(xué)習(xí)如何將風(fēng)險(xiǎn)降至最低。

為什么云容器成為越來(lái)越大的威脅？

容器是當(dāng)下的一股潮流，它在提高敏捷性和促進(jìn)創(chuàng)新方面起到了關(guān)鍵作用，也是應(yīng)用程序開發(fā)必不可少的。近年來(lái)，容器的采用率飆升，會(huì)繼續(xù)飆升，畢竟它徹底改變了組織部署IT基礎(chǔ)架構(gòu)的方式。

Gartner 預(yù)測(cè)，到2023年，70%的組織將使用容器化應(yīng)用程序。云原生計(jì)算基金會(huì)（CFNC）在一項(xiàng)調(diào)查中發(fā)現(xiàn)，96%的企業(yè)已經(jīng)評(píng)估或積極使用Kubernetes。此外，Red Hat的《2022年企業(yè)開源狀況報(bào)告》發(fā)現(xiàn)，68%的IT領(lǐng)導(dǎo)者表示容器技術(shù)處于與人工智能和機(jī)器學(xué)習(xí)等其他重要技術(shù)相提并論的地位。

容器因顯著的優(yōu)勢(shì)而得到采用，但也會(huì)帶來(lái)對(duì)組織產(chǎn)生不利影響的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。如果企業(yè)依賴容器技術(shù)，卻未能識(shí)別安全漏洞并實(shí)施緩解措施，其敏感的業(yè)務(wù)數(shù)據(jù)就岌岌可危，包括客戶數(shù)據(jù)。由于這些威脅大多數(shù)無(wú)法借助代理或VPN等端點(diǎn)安全工具得到緩解，形勢(shì)變得更為嚴(yán)峻。以下是云容器對(duì)組織構(gòu)成威脅的幾個(gè)原因：

人為錯(cuò)誤

黑客可以通過(guò)幾個(gè)途徑危及云端的容器技術(shù)。一項(xiàng)研究表明，90%的受訪者遇到過(guò)容器安全事件，67%的受訪者遇到過(guò)容器嚴(yán)重配置不當(dāng)。事實(shí)上據(jù)Gartner聲稱，到2025年，超過(guò)89%的云泄密事件的根本原因是用戶配置不當(dāng)和錯(cuò)誤。

容器不是為存儲(chǔ)數(shù)據(jù)而構(gòu)建的，但有時(shí)組織會(huì)犯將敏感數(shù)據(jù)存儲(chǔ)在容器鏡像內(nèi)這個(gè)錯(cuò)誤。由于存儲(chǔ)的數(shù)據(jù)可以公開訪問(wèn)，這為威脅分子達(dá)到目的提供了很大的便利。比如說(shuō)，發(fā)現(xiàn)托管鏡像的容器注冊(cè)中心含有可供公眾訪問(wèn)的源代碼后，Vine的全部代碼都被泄露了。

利用薄弱環(huán)節(jié)

網(wǎng)絡(luò)犯罪分子可以在底層操作系統(tǒng)中找到薄弱環(huán)節(jié)，并利用該薄弱環(huán)節(jié)來(lái)訪問(wèn)容器。比如說(shuō)，黑客可以通過(guò)竊取安全性弱的憑據(jù)（登錄信息）闖入云環(huán)境，然后可以篡改應(yīng)用程序配置，這可能導(dǎo)致供應(yīng)鏈出現(xiàn)安全威脅。黑客還可以利用容器來(lái)訪問(wèn)主服務(wù)器。在這兩種情況下，容器都會(huì)受到威脅，數(shù)據(jù)安全因此面臨風(fēng)險(xiǎn)。

鏡像漏洞

容器的另一個(gè)威脅與構(gòu)建容器的鏡像有關(guān)。企業(yè)可以重用鏡像的組件，而不是從頭開始構(gòu)建新容器。因此，容器鏡像在容器生態(tài)系統(tǒng)中發(fā)揮著至關(guān)重要的作用，但它帶來(lái)的風(fēng)險(xiǎn)也不容忽視。

有報(bào)告顯示，托管在Docker Hub存儲(chǔ)庫(kù)上的超過(guò)200萬(wàn)個(gè)容器鏡像至少存在一個(gè)嚴(yán)重漏洞。惡意攻擊者通過(guò)鏡像搶注攻擊來(lái)攻擊公共注冊(cè)中心。在這種攻擊下，網(wǎng)絡(luò)犯罪分子上傳帶有真實(shí)合法鏡像名稱的惡意鏡像。

攻擊者可以用惡意軟件滲入創(chuàng)建容器的鏡像。在整個(gè)容器中傳播的惡意軟件會(huì)破壞文件，甚至導(dǎo)致數(shù)據(jù)被盜。

API服務(wù)器訪問(wèn)

研究人員發(fā)現(xiàn)，380000余臺(tái)Kubernetes API服務(wù)器允許訪問(wèn)公共互聯(lián)網(wǎng)。這使得管理云部署的開源容器編排引擎很容易成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。中招的API服務(wù)器使威脅分子能夠操縱各種Kubernetes組件之間的聯(lián)系，比如外部托管的惡意資源。

此外，攻擊者可以利用通信渠道在Pod之間傳播加密貨幣挖掘惡意軟件。這甚至?xí){到組織的可用應(yīng)用程序和服務(wù)。

除此之外，由于容器通過(guò)網(wǎng)絡(luò)與其他容器和編排環(huán)境進(jìn)行聯(lián)系，SQL注入和XSS攻擊之類的攻擊就司空見慣。

云容器防御最佳實(shí)踐

報(bào)告顯示，75%的容器存在高危或嚴(yán)重的可修補(bǔ)漏洞。隨著企業(yè)的應(yīng)用程序和服務(wù)轉(zhuǎn)而采用容器技術(shù)，保護(hù)云容器的需求變得勢(shì)在必行。

以下是緩解云容器威脅的有效方法：

•  實(shí)施在容器生命周期的各個(gè)階段保護(hù)容器的安全控制。
•  由于容器由應(yīng)用程序代碼、文件、庫(kù)和二進(jìn)制文件組成，應(yīng)建立官方容器注冊(cè)中心。
•  保護(hù)API服務(wù)器是重中之重。API服務(wù)器需要安全性強(qiáng)的身份驗(yàn)證憑據(jù)，開發(fā)人員應(yīng)通過(guò)結(jié)合多因素身份驗(yàn)證（MFA）或其他工具來(lái)限制未授權(quán)訪問(wèn)。
•  使用容器化的下一代防火墻來(lái)保護(hù)容器遠(yuǎn)離惡意軟件等基于網(wǎng)絡(luò)的威脅。下一代防火墻可以防止惡意軟件進(jìn)入容器并在容器內(nèi)傳播，并阻止旨在泄露數(shù)據(jù)的惡意出站連接。
•  增加使用基于人工智能的自動(dòng)化配置管理，以避免人為錯(cuò)誤風(fēng)險(xiǎn)。
•  徹底掃描內(nèi)部源代碼，以確保容器鏡像中不存在惡意軟件。然而，由于容器鏡像還包括從第三方導(dǎo)入的資源，因此光掃描還不夠。應(yīng)使用容器掃描工具掃描整個(gè)鏡像，因?yàn)樗煞治鲧R像內(nèi)容，并標(biāo)記可疑或不安全的組件，而不是掃描源代碼。
• 部署訪問(wèn)控制以確保沒(méi)有未授權(quán)用戶在訪問(wèn)注冊(cè)中心中的鏡像。這樣一來(lái)，組織可以防止數(shù)據(jù)泄露，因?yàn)殓R像會(huì)泄露私密數(shù)據(jù)。
• 不斷進(jìn)行安全測(cè)試，以防止最細(xì)小的錯(cuò)誤配置。

如果組織確保能夠滿足容器化應(yīng)用程序的漏洞管理、運(yùn)行時(shí)保護(hù)、合規(guī)和網(wǎng)絡(luò)安全等要求，它們無(wú)異于有了成功的策略來(lái)防范云容器威脅。

結(jié)語(yǔ)

由于容器技術(shù)日益在云端得到采用，加上容器有眾多好處，組織可能忍不住忽略潛在的安全威脅。人為錯(cuò)誤、鏡像漏洞和中招的API服務(wù)器，這是導(dǎo)致云容器威脅增加的三大原因。這些問(wèn)題常常導(dǎo)致惡意軟件攻擊、數(shù)據(jù)盜竊和泄漏。采用適當(dāng)?shù)娜萜靼踩胧┯兄诮档惋L(fēng)險(xiǎn)，比如使用容器安全工具、維護(hù)API安全、部署防火墻以及持續(xù)監(jiān)控和測(cè)試。

本文翻譯自：https://cybersecurity.att.com/blogs/security-essentials/are-cloud-containers-a-sugar-coated-threat如若轉(zhuǎn)載，請(qǐng)注明原文地址。