云原生計(jì)算基金會(huì)最近的Kubernetes報(bào)告發(fā)現(xiàn)，28%的企業(yè)有超過90%的工作負(fù)載運(yùn)行在不安全的Kubernetes配置中。大多數(shù)工作負(fù)載(超過71%)使用超級(jí)用戶訪問權(quán)限運(yùn)行，這增加了系統(tǒng)受損和敏感數(shù)據(jù)泄露的可能性。許多DevOps組織忽略了將readOnlyRootFilesystem設(shè)置為True，這會(huì)使其容器容易受到攻擊，并且會(huì)寫入未經(jīng)授權(quán)的可執(zhí)行文件。

容器是軟件供應(yīng)鏈中增長(zhǎng)最快、也是最薄弱的環(huán)節(jié)

Gartner預(yù)測(cè)，到2029年，超過95%的企業(yè)將在生產(chǎn)中運(yùn)行容器化應(yīng)用程序，較去年的不到50%大幅躍升。在五年內(nèi)，35%的企業(yè)應(yīng)用程序?qū)⒃谌萜髦羞\(yùn)行，超過80%的商業(yè)現(xiàn)成(COTS)供應(yīng)商將以容器格式提供軟件，而去年這一比例還不到30%。在創(chuàng)建云應(yīng)用的企業(yè)中，容器及其協(xié)調(diào)平臺(tái)主導(dǎo)著DevOps和DevSecOps，而且還會(huì)加速。

然而，容器是軟件供應(yīng)鏈中最薄弱的環(huán)節(jié)之一。從錯(cuò)誤配置的云、容器和網(wǎng)絡(luò)配置，到在項(xiàng)目生命周期中誰擁有容器安全的困惑，企業(yè)都在努力控制容器安全。攻擊者正在利用容器鏡像、運(yùn)行時(shí)、API接口和容器注冊(cè)表中日益增長(zhǎng)的漏洞來利用斷開的連接。身份安全級(jí)別較低的不安全容器(如果有的話)也是內(nèi)部攻擊者的金礦。

當(dāng)容器映像不安全時(shí)，攻擊者可以迅速超越最初的威脅表面，入侵整個(gè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。大多數(shù)攻擊平均在277天內(nèi)無法識(shí)別，而且可能會(huì)持續(xù)更長(zhǎng)時(shí)間，這取決于組織的監(jiān)控是否有效。

保護(hù)容器安全的十種方法可以保護(hù)供應(yīng)鏈

從鏡像漏洞到容器運(yùn)行時(shí)配置不安全，再到運(yùn)行時(shí)軟件中的漏洞，容器經(jīng)常會(huì)因?yàn)榕渲帽∪趸虿灰恢露?。市?chǎng)上沒有單一的解決方案可以解決所有這些挑戰(zhàn)，它需要DevOps、DevSecOps和軟件工程方面的變更管理來幫助提高容器安全。

一個(gè)很好的起點(diǎn)是NIST的應(yīng)用程序容器安全指南(NIST SP 800-190)，它對(duì)與容器有關(guān)的潛在風(fēng)險(xiǎn)進(jìn)行了深入評(píng)估，并為降低其風(fēng)險(xiǎn)提出了切實(shí)可行的建議。根據(jù)NIST的說法，“容器的使用將大部分安全責(zé)任轉(zhuǎn)移到開發(fā)人員身上，因此組織應(yīng)該確保他們的開發(fā)人員擁有做出合理決策所需的所有信息、技能和工具?！盢IST建議讓安全團(tuán)隊(duì)能夠在整個(gè)開發(fā)周期中定義和執(zhí)行質(zhì)量。

1.先準(zhǔn)備好容器專用安全工具。定義一個(gè)負(fù)擔(dān)得起的、可行的安全工具路線圖，專門為保護(hù)容器(如果尚未到位)而構(gòu)建。安全團(tuán)隊(duì)從旨在管理漏洞、實(shí)施訪問控制和確保合規(guī)性的工具開始。這些工具包括用于漏洞掃描的Red Hat‘s Clair、用于Kubernetes圖像掃描和分析的Anchore以及用于合規(guī)性檢查的OpenSCAP。

2.實(shí)施嚴(yán)格的訪問控制。對(duì)于任何追求零信任框架的組織來說，實(shí)施對(duì)每個(gè)容器的最低特權(quán)訪問對(duì)于降低入侵風(fēng)險(xiǎn)至關(guān)重要，這尤其適用于管理員訪問權(quán)限和特權(quán)。CrowdStrike的獵鷹云安全、Ivanti的身份總監(jiān)和Portnox的云原生NAC解決方案都是在這一領(lǐng)域提供解決方案的供應(yīng)商之一。

3.定期更新容器鏡像。與任何企業(yè)系統(tǒng)或DevOps組件一樣，保持最新的安全更新至關(guān)重要。WatchTower專門從事Docker圖像的自動(dòng)更新，Podman管理符合OCI標(biāo)準(zhǔn)的容器，以及Google Cloud的Artiact Registry，它允許添加新的圖像，它們提供了工具來幫助平臺(tái)團(tuán)隊(duì)確保他們的圖像是更新的和安全的。許多DevOps和DevSecOps團(tuán)隊(duì)都在自動(dòng)進(jìn)行安全更新，以確保他們不會(huì)錯(cuò)過一個(gè)。為了確保圖像的安全，養(yǎng)成定期執(zhí)行審計(jì)的習(xí)慣是個(gè)好主意。

4.自動(dòng)化CI/CD管道中的安全。開始將自動(dòng)化安全檢查集成到CI/CD管道中，如果它們還不能及早識(shí)別漏洞。使用容器特定的工具進(jìn)行靜態(tài)代碼分析和運(yùn)行時(shí)掃描是一個(gè)好主意。始終檢查以確保圖像來自受信任的注冊(cè)中心。Alert Logic以實(shí)時(shí)威脅檢測(cè)和事件響應(yīng)而聞名，Anchore以其容器圖像漏洞管理而聞名，Aqua Security以全面的容器安全而聞名，這三家供應(yīng)商在這一領(lǐng)域值得注意。

5.進(jìn)行全面的漏洞掃描。任何旨在保護(hù)容器安全的工作流程都需要包括對(duì)容器圖像和注冊(cè)表的定期漏洞掃描。這些掃描的目標(biāo)是識(shí)別安全風(fēng)險(xiǎn)并防止部署易受攻擊的容器。提供漏洞掃描的主要供應(yīng)商包括Aqua Security、以合規(guī)性和漏洞管理而聞名的Qualys，以及以容器運(yùn)行時(shí)防御和云本地應(yīng)用程序保護(hù)平臺(tái)功能而聞名的SysDig Secure。

6.有效管理秘密。獲得正確的秘密管理是確保容器安全的核心領(lǐng)域。入侵事件的發(fā)生是因?yàn)槲谋緳C(jī)密進(jìn)入了容器圖像。為了增強(qiáng)安全性，必須使用容器圖像簽名，以確保圖像得到驗(yàn)證和信任。還建議使用來源驗(yàn)證工具來幫助保護(hù)軟件供應(yīng)鏈，維護(hù)軟件組件的完整性和真實(shí)性。

7.隔離敏感工作負(fù)載。對(duì)于追求零信任框架的企業(yè)來說，細(xì)分的概念是他們自然反應(yīng)的一部分。在保護(hù)容器時(shí)，物聯(lián)網(wǎng)需要保持一致。根據(jù)數(shù)據(jù)的敏感程度和機(jī)密程度隔離容器。具有身份訪問管理層(IAM)和特權(quán)訪問管理層(PAM)的保險(xiǎn)存儲(chǔ)容器內(nèi)容。通過分段全力以赴地保護(hù)工作負(fù)載，該分段可以適應(yīng)并靈活地適應(yīng)容器和Kubernetes工作流的快速變化。

8.使用不變的基礎(chǔ)設(shè)施。不可變基礎(chǔ)設(shè)施的概念是，一旦部署了服務(wù)器，它們就永遠(yuǎn)不會(huì)被修改。如果需要更新或修復(fù)，則從帶有新添加或更改的公共映像創(chuàng)建和配置新服務(wù)器，以替換舊服務(wù)器。AWS Fargate、Docker和Google Kubernetes Engine在提供基于容器和Kubernetes的不變性基礎(chǔ)設(shè)施方面處于領(lǐng)先地位。

9.實(shí)施網(wǎng)絡(luò)策略和分段。對(duì)網(wǎng)絡(luò)流量如何流經(jīng)網(wǎng)絡(luò)獲得更好的可見性可提供正確分段所需的寶貴數(shù)據(jù)。它對(duì)于定義安全約束和提供遙測(cè)數(shù)據(jù)也是無價(jià)的，領(lǐng)先的供應(yīng)商希望使用這些數(shù)據(jù)來訓(xùn)練他們的大型語言模型。領(lǐng)先的供應(yīng)商包括AlgoSec、思科和Check Point軟件技術(shù)公司。這些公司中的每一家都提供用于維護(hù)合規(guī)性、執(zhí)行策略和管理安全操作的應(yīng)用程序和工具。

10.實(shí)施先進(jìn)的容器網(wǎng)絡(luò)安全。確定網(wǎng)絡(luò)集成點(diǎn)可能出現(xiàn)故障或被攻擊者破壞的位置，這就是為什么需要采取額外的步驟來保護(hù)容器。超越容器本身并保護(hù)其跨網(wǎng)絡(luò)的接入點(diǎn)是關(guān)鍵。思科、CrowdStrike、Ivanti、Palo Alto Networks和VMware/Broadcom都將高級(jí)容器網(wǎng)絡(luò)安全作為其平臺(tái)的一部分。獲得高級(jí)容器網(wǎng)絡(luò)安全權(quán)限將采取綜合方法，單個(gè)供應(yīng)商很可能無法針對(duì)企業(yè)擁有的更復(fù)雜的網(wǎng)絡(luò)配置進(jìn)行擴(kuò)展。