保护Docker和容器基础设施的安全需要结合策略、工具和审慎的应用检查。Gartner将容器安全列为其年度10大安全问题之一,也许是时候仔细研究并找出如何真正实现容器安全了。尽管容器已经存在了十年,但由于其轻量级和可重用的代码、灵活的特性以及较低的开发成本,它们的受欢迎程度一直有增无减。但没有适合所有人的工具。让我们仔细看看保护开发环境所需的各种工具、容器本身使用的工具以及用于监控/审计/合规目的的工具。从几个基本步骤开始:1.熟悉云提供商提供的工具。熟悉云提供商内置的安全措施,例如Azure安全中心、GoogleKubernetesEngine、GoogleCloudSecurityCommandCenter和AmazonInspector。其中一些是通用安全工具,而不是特定于容器的,例如Azure安全中心。2.熟悉Docker原生相关的安全特性,包括应用策略防止资源滥用,设置访问控制组,确保去除不必要的root权限。3.考虑GitHub开源项目在某些情况下,检查代码安全实践的BenchSecurity等项目,以及seccomp等其他Linux原生工具,都是省钱的好选择。总是有很多软件需要学习和理解,但值得研究一些常见的功能,包括用户和生成的应用程序的身份和身份验证措施,以及控制这些访问权限的机制。此外,您需要能够检查和审核日志文件、浏览和过滤日志文件以提供有利于您的安全状况的可操作信息。还有用于保护API密钥和SSL凭证等秘密的底层基础设施。这些秘密必须以加密形式存储。感觉有点头晕?这仅仅是个开始。要在企业环境中保护容器,您必须仔细考虑三个方面。1.保护开发环境由于容器对开发者来说非常有用,所以有必要推进到DevSecOps,但是记得在创建容器的时候加入安全措施,不要在项目仓促上线后留下很多漏洞。确保应用程序安全一直是一种实践。在选择合适的安全工具之前,您需要回答几个重要问题:(1)哪些工作流程可以自动化以确保您的应用程序安全?有一些工具可以帮助解决这个问题,尤其是在编排方面。然而,许多编排工具专注于容器管理和扩展问题,而不必考虑安全细节。在功能和保护之间找到适当的平衡可能很棘手。(2)应用和用户访问控制的粒度应该多细?这里有必要了解一下这些控件的实现机制和局限性。例如,哪些代码段和容器具有root/kernel访问权限,是否需要这么高的权限才能完成任务。(3)是否应使用运行时应用程序自我保护(RASP)技术?必须。与专注于应用程序的常规RASP工具一样,也有专注于容器运行时应用程序保护的工具,可以通过静态扫描或与开发环境的持续集成。由于容器代码在不断变化,因此一种持续集成的形式非常有用;当你必须修复或更新时,持续的代码审计也可以节省很多时间。一个好的RASP容器工具应该标记异常行为,减轻潜在威胁,并隔离特定事件以进行进一步的取证分析。2.保护托管容器的底层主机。在大多数情况下,这意味着运行精简版的LInux,仅保留必要的服务以减少潜在的接口。一些工具旨在加强主机本身。另一种方法是使用上面提到的Docker控制组,并隔离命名空间以反映您的安全策略并防止容器相互感染。一些商店使用来自云提供商的虚拟专用连接来实现这种隔离操作。此过程涉及应用访问级别和其他机制来隔离工作负载,以及限制每个主机上运行的容器数量。出于这个原因,一些商店甚至在每个主机上只运行一个容器。3.保护容器的内容这里讨论的是镜像的软件供应链。这是构建容器的基石,所以一个重要的基础功能就是能够保证镜像源的完整性保护,即当提供原始容器镜像的员工或开源项目对镜像进行更改时,你有才能确切地知道发生了什么变化。鉴于许多容器在Internet上共享这一事实,能够扫描容器映像以确保它们未被感染是一项有用的功能。那么,你多久扫描一次,你能自动化吗?能够从可信来源获取图像固然很好,但每个人都会犯错,不小心引入安全问题是不可避免的。但是,对于某些商店,您不必担心容器中有什么孔。这听起来令人惊讶,但它确实有道理——除了一件事:除非你能保证容器边界足够安全,或者你的应用程序的实际代码不会触及容器代码的易受攻击的部分。您对自己的安全工具的信心程度可能是决定您的漏洞容忍度的最终因素。Gartner年度十大安全问题:https://www.gartner.com/doc/3900996/top--security-projectsSysdig教程:https://dig.sysdig.com/c/pf-use-case-detect-anomolous-activity开源RASP工具Falcon:https://sysdig.com/opensource/falco/监控工具:https://sysdig.com/products/monitor/安全工具:https://sysdig.com/products/secure/【本文为专栏作者“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
