容器和沙箱是在谈论恶意软件防护时经常提到的两个术语,许多企业想知道哪种方法最好。答案是两者结合,但许多组织可能负担不起或不具备部署这两种方法的专业知识。为了找到满足您企业特定需求的最佳选择,了解如何使用它们非常重要。在讨论沙箱和软件容器之间的区别之前,您需要了解一些事情。如今,大多数企业已经将应用程序容器和虚拟化用于许多不同的目的,其中许多与安全相关,包括:他们使用虚拟机在虚拟数据中心或IaaS中运行安全工具。他们使用快照等管理程序功能来帮助支持配置管理和修复。他们使用容器来支持微服务和服务网格架构。他们使用VM和容器来支持DevOps工具链中安全活动的自动化。然而,在本文中,我们将探讨如何使用这些工具专门支持沙箱。沙盒在几年前开始流行,当时人们意识到恶意软件仍然可以绕过防病毒软件并感染网络。防病毒软件的问题在于,所有系统都需要在计算机上安装基于签名的代理,并且必须定期更新它们,从而使端点有机会抵御恶意软件。由于防病毒软件无法捕获所有内容——即使保持更新并安装在工作站上——沙盒的使用也开始增加。VM沙盒安全模型沙盒本质上是关于创建可用于特定安全目的的隔离隔离环境,例如FreeBSD。例如,对于反恶意软件,您可以使用隔离的沙箱来引爆恶意软件样本以查看其行为。通过运行可疑恶意软件样本并观察其行为,您可以观察攻击方法以了解您成为攻击目标的原因。在未知软件的情况下,您可以使用此方法来确定文件是否可以安全地在托管端点上运行。如果该软件没有执行任何恶意操作,则可以将其转发给最终用户。同样,对于可疑的恶意软件样本,您可以使用此技术进一步研究恶意软件。这可以让您知道您是否已成为复杂攻击活动的目标,例如民族国家,或者只是随机成为机器人或脚本小子的目标。虚拟机管理程序提供了两个功能,使该技术更加安全。首先,他们以无孔方式进行分割。在现代环境中,我们使用虚拟化,这意味着分段边界至关重要。鉴于许多企业现在使用多租户IaaS,我们很可能会看到数据窃取或试图跨VM分段边界进行攻击,例如企业可以从同一管理程序窃取数据,破坏或以其他方式攻击其他VM。其次,管理程序让我们有选择地限制或阻止VM可以做什么。例如,它可以防止工作负载在网络上发送或接收数据,或者可以使用快照将损坏的VM恢复到已知的可靠状态。在这种方法中,基于虚拟机的沙箱依赖于多个虚拟机来捕获进出网络的流量,并充当恶意活动检测的检查点。此沙箱的目的是获取未知文件并在其中一个VM中引爆它们以确定该文件是否可以安全安装。由于恶意软件作者可以使用各种规避技术来使文件看起来安全,因此这并不总是万无一失的解决方案,但它确实提供了额外的防御层。容器沙盒安全模型我们可以使用的另一种方法是软件容器。今天有许多不同的部署模型。Docker和Rocket等工具创建隔离的应用程序环境;分段在操作系统级别执行——在本例中,使用Linux命名空间和cgroup。某些操作系统中还内置了基于容器的配置,例如Linux中的chrootjails或Windows中的WindowsSandbox。从使用的角度来看,您可以将容器中的所有内容指定为始终不受信任,从而允许您创建一个不影响底层主机的独立隔离环境。在此用例中,该容器中的所有内容都被认为具有潜在风险。而且容器不会尝试确定文件是否已损坏;它只是防止恶意软件活动传播或危害底层主机。例如,考虑一下您担心用户容易受到路过式下载攻击或其他虚假活动的影响的情况。一种方法是在应用程序沙箱中运行浏览器,并在用户浏览会话完成后清除沙箱。用户收集的任何潜在恶意软件都会与沙箱一起清除。以这种方式使用时,软件容器不会使用防病毒产品等进行签名。它们不会阻止攻击,它们只是限制攻击的范围,因为容器是围绕特定应用程序(上例中的浏览器)构建的,以隔离攻击并防止其传播到操作系统的其他部分。在许多情况下,这种方法会让容器将沙箱带到端点。您不必担心下载文件的内容,只需让用户在使用完该应用程序后将其重置为良好状态即可。沙盒与容器注意事项是使用沙盒还是容器很难选择,最好在可能的情况下同时使用两者。您的用法将在很大程度上决定方法。典型的基于VM的沙箱方法可能涉及系统挑选可疑文件-当它们通过沙箱时。与传统的防病毒软件相比,这很有吸引力,因为它不需要安装代理来查找签名。反过来,这意味着可以找到并正确标记没有先兆的恶意软件样本。另一方面,另一个用例是使用软件容器在高风险应用程序(例如用户的浏览器)周围创建墙。这种方法通常很麻烦并且依赖于端点和/或应用程序配置。要确定哪种工具最适合您,请尝试确定当前哪些区域对您的环境构成最大风险,并确定其中哪些选项将为您提供最大的前期保护。您是否希望加强对电子邮件恶意软件的防御?在这种情况下,集成到您的电子邮件网关中的基于VM的方法可能是一个不错的选择。您是否正在尝试减少路过式下载等攻击?在这种情况下,软件沙箱可能更适合您。哪种架构最适合您的环境取决于您的架构,但了解容器和沙箱之间的区别肯定是第一步。
