自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

容器安全優(yōu)秀實(shí)踐和常見威脅

作者:云原生技術(shù)愛好者社區(qū)
云計(jì)算 云安全
本文我們將了解容器安全挑戰(zhàn)并了解關(guān)鍵的容器安全優(yōu)秀實(shí)踐,例如保護(hù)鏡像、harbor等。

本文我們將了解容器安全挑戰(zhàn)并了解關(guān)鍵的容器安全優(yōu)秀實(shí)踐,例如保護(hù)鏡像、harbor等。

什么是容器?

  • 容器是一種操作系統(tǒng)級(jí)虛擬化方法,用于在單個(gè)受控制的主機(jī)上運(yùn)行多個(gè)隔離的 Linux 系統(tǒng)(容器),它允許多個(gè)隔離的用戶空間實(shí)例和資源管理功能;
  • 容器從底層操作系統(tǒng)中抽象出應(yīng)用程序,以實(shí)現(xiàn)更快的開發(fā)和更輕松的部署。

有哪些不同類型的容器解決方案?

  • LXC (Linux Containers)
  • Docker
  • Podman
  • CoreOS AppC
  • Solaris Zones
  • FreeBSD Jails
  • AIX Workload Partitions
  • Kubernetes (從技術(shù)上講是一個(gè)編排調(diào)度平臺(tái),這里只是一個(gè)參考)

容器存在多久了?

容器技術(shù)已經(jīng)存在了 10 多年,最近由于云計(jì)算的普及而爆發(fā)。

虛擬機(jī)和容器有何不同?

圖片

虛擬機(jī):

  • 運(yùn)行內(nèi)核的單獨(dú)副本
  • 通過(guò)虛擬機(jī)仿真與主機(jī)通信

容器:

  • 共享同一個(gè)內(nèi)核
  • 通過(guò)標(biāo)準(zhǔn)系統(tǒng)調(diào)用與主機(jī)通信

容器安全優(yōu)勢(shì)

容器有哪些安全優(yōu)勢(shì)?

(1) 應(yīng)用程序隔離:

  • 容器允許容器內(nèi)的進(jìn)程以非 root 用戶身份運(yùn)行,從而降低惡意代碼或用戶利用應(yīng)用程序的風(fēng)險(xiǎn);
  • 容器作為獨(dú)立的運(yùn)行時(shí)環(huán)境運(yùn)行,具有獨(dú)立的文件系統(tǒng)和與其他容器和主機(jī)系統(tǒng)隔離的網(wǎng)絡(luò)棧;
  • 容器允許在同一主機(jī)上運(yùn)行的應(yīng)用程序相互隔離,并且只允許在容器之間交換預(yù)配置的端口和文件。

(2) 減少攻擊面

  • 正確配置的容器將僅包含運(yùn)行應(yīng)用程序所需的依賴項(xiàng)(庫(kù)和附加軟件),這可以減少漏洞攻擊面;
  • 容器與應(yīng)用程序依賴項(xiàng)集成在一起,通過(guò)最大限度地減少驗(yàn)證程序和補(bǔ)丁之間的兼容性的工作,可以實(shí)現(xiàn)更好、更快的漏洞修補(bǔ)過(guò)程;
  • 容器技術(shù)可以與底層主機(jī)加固工具相結(jié)合,增加深度防御。

容器安全風(fēng)險(xiǎn)

您應(yīng)該注意哪些容器的安全風(fēng)險(xiǎn)?

(1) 增加了復(fù)雜性:

  • 容器的復(fù)雜性和可擴(kuò)展性可能導(dǎo)致容器暴露比預(yù)期更多的信息。

(2) 未徹底隔離

  • 該技術(shù)還沒有像虛擬機(jī)技術(shù)那樣孤立,它與主機(jī)系統(tǒng)共享底層內(nèi)核和操作系統(tǒng)。如果系統(tǒng)內(nèi)核級(jí)別存在漏洞,它可以提供進(jìn)入主機(jī)上運(yùn)行的容器的途徑;
  • 容器中沒有用戶空間隔離,因此在容器中以 root 身份運(yùn)行的進(jìn)程也將在主機(jī)系統(tǒng)上以 root 身份運(yùn)行;
  • 額外的軟件和庫(kù)仍然可以添加到物理或虛擬機(jī)主機(jī)等容器中,這可能導(dǎo)致漏洞風(fēng)險(xiǎn)增加;
  • 惡意代碼可能會(huì)突破容器并影響主機(jī)系統(tǒng)。

容器安全縱深防御

您應(yīng)該如何考慮將縱深防御實(shí)踐應(yīng)用于容器?

圖片

映射到 STRIDE 的容器威脅

如果您不熟悉威脅建模,最好將其描述為:

影響應(yīng)用程序安全性的所有信息的結(jié)構(gòu)化表示。本質(zhì)上,它是從安全的角度看待應(yīng)用程序及其環(huán)境的視圖

STRIDE是一個(gè)流行的威脅建??蚣?,在這里我將分享映射到該框架的容器威脅的非詳盡列表。

圖片

STRIDE 評(píng)估系統(tǒng)詳細(xì)設(shè)計(jì)。它對(duì)就地系統(tǒng)進(jìn)行建模,主要用于識(shí)別系統(tǒng)實(shí)體、事件和系統(tǒng)邊界。

這里有一些例子:

圖片

總結(jié)

我希望你喜歡這種關(guān)于容器安全挑戰(zhàn)的觀點(diǎn),并學(xué)到了一些新東西。這篇文章并非旨在詳盡列出威脅和最佳實(shí)踐,而是提供一般的觀點(diǎn)和方向。

責(zé)任編輯:趙寧寧 來(lái)源: 云原生技術(shù)愛好者社區(qū)
容器安全容器
相關(guān)推薦

2020-12-16 08:23:06

DevOps容器安全容器

2022-01-13 08:37:54

SSH安全網(wǎng)絡(luò)安全

2022-02-07 19:09:15

網(wǎng)絡(luò)分段零信任網(wǎng)絡(luò)安全

2022-02-10 10:51:35

數(shù)據(jù)庫(kù)

2023-07-13 14:27:39

2021-05-12 10:52:38

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2021-05-19 14:14:29

服務(wù)器安全數(shù)據(jù)

2024-07-19 08:36:39

2022-01-12 00:04:16

安全網(wǎng)絡(luò)識(shí)別

2022-07-29 14:18:11

數(shù)據(jù)安全數(shù)據(jù)丟失防護(hù)

2021-11-01 05:54:01

數(shù)據(jù)庫(kù)安全信息安全網(wǎng)絡(luò)攻擊

2023-10-27 12:11:33

2021-04-12 10:04:42

數(shù)據(jù)庫(kù)安全漏洞網(wǎng)絡(luò)攻擊

2022-03-25 11:46:21

數(shù)據(jù)倉(cāng)庫(kù)軟件安全保護(hù)數(shù)據(jù)

2020-07-30 11:39:06

網(wǎng)絡(luò)攻擊數(shù)據(jù)存儲(chǔ)數(shù)據(jù)安全

2020-03-16 08:48:18

Kubernetes容器云原生

2022-03-29 13:35:40

云安全云計(jì)算公有云

2019-07-30 16:16:01

網(wǎng)絡(luò)安全IaaS云計(jì)算

2022-07-25 14:24:53

Docker容器安全

2024-10-29 20:58:38

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)