随着Docker和Kubernetes技术的成熟,容器已经成为时下最热门的开发概念之一。它是云原生概念的重要组成部分,并迅速成为在云原生生态系统中部署计算和工作负载的明显选择。云原生计算基金会(CNCF)的最新云原生调查显示,96%的组织正在积极使用或评估容器和Kubernetes。众所周知,容器作为应用的封装形式,能够以更轻量、更低成本的方式运行,具有可移植性、一致性、高效性等优点,但也并非没有安全问题。保护容器是一项复杂的活动,就像网络安全一样,需要人员、流程和技术的结合,其中人员的安全是最关键的。对于那些希望迁移到容器的组织,提高现有员工的技能并引入其他具备必要技能的人员来保护云原生操作模型。下面列出了管理容器漏洞风险的最佳实践和相关工具。如果企业采用这些工具,实施最佳实践,并遵循行业最佳指导,就可能在容器安全使用方面更接近理想状态。要将容器安全与云安全紧密联系起来,首先需要了解容器在云环境中的作用和关系。云原生生态系统通常包括对云安全至关重要的云、集群、容器和代码。每一层都建立在下一层之上,任何一层的不安全都会影响到它下面的层。例如,部署在不安全容器上的应用程序会受到该容器的影响。云、Kubernetes集群或应用程序本身的漏洞都可能带来自己的问题。考虑到容器存在的状态(例如图像或正在运行的容器)以及可能放置在容器内的许多层和代码,保护容器并非易事。CNCF的白皮书《云原生安全》可以帮助读者更好地理解云原生应用、容器及其生命周期。加强容器可移植性防御尽管容器最显着的优点之一是可移植性,但它也是一个缺点。如果将漏洞利用程序混合到容器中并进行分发,则无异于将漏洞利用程序分发给使用该映像的每个人,并可能将其运行的任何环境置于风险之中,因为它们通常在多租户架构中运行。这意味着广泛可用和共享的容器镜像与开源代码、IaC等其他问题一样令人担忧,所有这些都可能引入漏洞。此外,容器在分发给企业之前通常由外部开发人员而非传统IT团队构建。在这种情况下,实施最佳安全编程和容器安全实践是一个良好的开端。及时扫描容器中的漏洞作为向安全左翼转变的一部分,应在管道部署活动期间扫描容器。目前,一些基本做法是在持续集成/持续部署(CI/CD)管道中扫描容器,以防止漏洞在运行时到达生产环境。在管道中发现容器中的漏洞可以防止漏洞被引入生产并被犯罪分子利用。这比修复生产中的漏洞效率更高、风险更低、成本更低。市面上不仅有Anchore、Trivvy等开源工具,也有Snyk等主流安全厂商提供的商业工具。然而,扫描流水线中的容器镜像并不是万能的。由于容器镜像通常存储在存储库中,一旦部署到生产环境中就会生效,因此在两种环境中扫描镜像是关键。新漏洞经常出现,因此简单地从存储库中提取以前扫描的图像并在不重新扫描的情况下进行部署可能会忽略自上次扫描以来发布的新漏洞。生产环境中的漏洞也是如此。如果企业的访问控制机制较差,对运行中的容器进行改动,很容易出现漏洞。因此,需要识别正在运行的容器中的漏洞,并通知相应的员工进行更改。适当应对调查、干预。使用容器镜像签名保护容器工作负载的另一个关键活动是镜像签名。中情局网络安全的三个要素大家都很熟悉:机密性、完整性和可用性。容器镜像签名主要是为了保证容器镜像的完整性。它确保使用的容器镜像没有被篡改并且是可信的。这可以在注册表中或作为DevOps工作流程的一部分完成。在对容器镜像进行签名时,有多种工具可供选择。最著名的工具之一是Cosign,它支持图像签名、验证和存储,还支持各种选项,例如硬件、密钥管理服务(KMS)、内置公钥基础设施(PKI)等。如今,无钥匙签名选项也出现在市场上,受到Chainguard等创新团队的追捧。无密钥签名实际上支持使用与身份关联的短期密钥的能力,这些密钥仅在签名活动期间有效。为容器镜像列出软件组件容器也有软件供应链安全问题。许多组织都列出了容器镜像的软件物料清单(SoftwareBillOfMaterials,简称“SBOM”)。Anchore的Syft工具就是一个很好的例子。Syft允许组织将容器镜像的SBOM作为CI/CD工作流程的一部分列出,帮助组织深入了解容器生态系统中运行的软件,并随时为可能的安全事件做好准备。以前很难做到这么高的知名度,但现在情况不同了,很多组织更加关注软件供应链安全,并遵循美国白宫和相关政府机构的指导,比如《网络安全行政令》.与此同时,人们越来越关注安全开发实践,NIST等组织发布了?(SSDF)的更新版本,该框架要求组织在归档和保护软件发布等活动中使用SBOM.在这种情况下,软件供应链中的组件具有很高的可见性。企业除了列出容器镜像的SBOM外,还必须提供证明,NIST在《软件供应链安全指南》中有相应的规定。NIST需要很好地证明SSDF,这需要使用SBOM。也有创新方案(如Syft)进一步实现SBOM,使用in-toto规范支持SBOM证明。此证明方法允许签名者证明SBOM准确地表示容器映像的内容。参考链接:https://www.csoonline.com/article/3656702/managing-container-vulnerability-risks-tools-and-best-practices.html
