容器是云原生应用领域发展迅速的一项技术。就像计算系统一样,容器由软件包组成,其中包含从任何地方运行应用程序所需的所有必要组件,例如二进制文件、文件和库。容器是轻量级的,由开发运营(DevOps)团队用来开发应用程序和部署服务。此外,组织正在使用容器来部署和扩展DevOps基础设施,例如持续集成/持续交付(CI/CD)工具。根据该报告,到2022年,组织可以在容器上运行24%的工作负载。然而,尽管容器有很多好处,但这并不意味着它们是完全安全的。根据一项研究,87%的组织在生产中部署了容器,94%的组织至少经历过一次安全事件。另一项研究发现,45%的组织出于容器安全问题而延迟或放慢了应用程序部署工作。所有这些问题都会导致组织放慢转型速度并遭受财务和声誉损失。为避免此类情况,组织需要了解云容器威胁并学习如何将风险降至最低。为什么云容器是一个日益增长的威胁容器是当下的潮流,在提高敏捷性和促进创新方面发挥着关键作用,并且对应用程序开发至关重要。近年来,容器的采用率飙升,并将继续飙升,因为它彻底改变了组织部署IT基础设施的方式。Gartner预测,到2023年,70%的组织将使用容器化应用程序。云原生计算基金会(CFNC)的一项调查发现,96%的企业已经评估或正在积极使用Kubernetes。此外,RedHat的《2022年企业开源状况报告》发现,68%的IT领导者表示容器技术与人工智能和机器学习等其他重要技术不相上下。容器因其显着优势而被采用,但它们也带来了可能对组织产生不利影响的网络安全威胁和挑战。当企业依赖容器技术而未能识别安全漏洞并实施缓解措施时,其敏感业务数据(包括客户数据)将面临风险。由于代理或VPN等端点安全工具无法缓解这些威胁中的大多数,这一事实加剧了这种情况。以下是云容器对组织构成威胁的几个原因:人为错误黑客可以通过多种途径破坏云中的容器技术。一项研究表明,90%的受访者经历过容器安全事件,67%的受访者经历过严重错误配置的容器。事实上,根据Gartner的说法,到2025年,超过89%的云泄露的根本原因将是用户配置错误和错误。容器不是为存储数据而构建的,但有时组织会错误地将敏感数据存储在容器映像中。这使得威胁行为者更容易实现他们的目标,因为存储的数据是公开访问的。例如,在发现托管图像的容器注册表包含可公开访问的源代码后,Vine的全部代码被泄露。利用漏洞网络犯罪分子可以在底层操作系统中找到一个薄弱环节,并利用它获得对容器的访问权限。例如,黑客可以通过窃取弱凭据(登录信息)侵入云环境,然后篡改应用程序配置,从而导致供应链中的安全威胁。黑客还可以使用容器来访问主服务器。在这两种情况下,容器都会受到损害,因此数据安全会受到威胁。图像漏洞容器面临的另一个威胁与构建容器的图像有关。企业可以重复使用镜像组件,而不是从头开始构建新的容器。因此,容器镜像在容器生态中扮演着至关重要的角色,但其带来的风险也不容忽视。据报道,托管在DockerHub存储库上的超过200万个容器映像至少存在一个严重漏洞。恶意攻击者通过镜像抢注攻击攻击公共注册表。在这次攻击中,网络罪犯上传带有真实合法图像名称的恶意图像。攻击者可以渗透创建带有恶意软件的容器的图像。在整个容器中传播的恶意软件可能会损坏文件,甚至导致数据被盗。API服务器访问研究人员发现,超过380,000个KubernetesAPI服务器允许访问公共互联网。这使得管理云部署的开源容器编排引擎很容易成为网络犯罪分子的目标。受损的API服务器使威胁参与者能够操纵各种Kubernetes组件之间的连接,例如外部托管的恶意资源。此外,攻击者可以利用通信渠道在Pod之间传播加密货币挖掘恶意软件。这甚至会威胁到组织的可用应用程序和服务。除此之外,随着容器通过网络与其他容器和编排环境进行通信,SQL注入、XSS攻击等攻击也屡见不鲜。云容器防御最佳实践报告显示,75%的容器存在高风险或严重的可修补漏洞。随着企业为其应用程序和服务转向容器技术,保护云容器的需求变得势在必行。这是减轻云容器威胁的有效方法:实施安全控制,在容器生命周期的所有阶段保护容器。由于容器由应用程序代码、文件、库和二进制文件组成,因此应该建立一个官方的容器注册表。保护API服务器是重中之重。API服务器需要强大的身份验证凭据,开发人员应通过结合多因素身份验证(MFA)或其他工具来限制未经授权的访问。使用容器化的下一代防火墙保护容器免受恶意软件等基于网络的威胁。下一代防火墙可防止恶意软件进入容器并在容器内传播,并阻止旨在泄露数据的恶意出站连接。更多地使用基于AI的自动化配置管理,以避免人为错误的风险。彻底扫描内部源代码以确保容器映像没有恶意软件。但是,由于容器镜像还包括从第三方导入的资产,光扫描是不够的。应使用容器扫描工具扫描整个图像,因为它会分析图像内容并标记可疑或不安全的组件,而不是扫描源代码。部署访问控制以确保没有未经授权的用户访问注册表中的图像。通过这种方式,组织可以防止数据泄露,因为镜像可以泄露私有数据。持续执行安全测试以防止最轻微的配置错误。如果组织确保它们满足容器化应用程序的漏洞管理、运行时保护、合规性和网络安全的要求,那么它们就有一个成功的策略来抵御云容器威胁。结论由于云中越来越多地采用容器技术以及容器的众多优势,组织可能会倾向于忽略潜在的安全威胁。人为错误、图像漏洞和受损的API服务器是云容器威胁增加的三个主要原因。这些问题通常会导致恶意软件攻击、数据盗窃和泄漏。采用适当的容器安全措施有助于降低风险,例如使用容器安全工具、维护API安全、部署防火墙以及持续监控和测试。本文翻译自:https://cybersecurity.att.com/blogs/security-essentials/are-cloud-containers-a-sugar-coated-threat如有转载请注明出处。
