容器正迅速成为云原生生态系统中计算和工作负载部署的实际形式。云原生计算基金会(CNCF)最近发布了云原生报告:96%的组织正在积极使用或评估容器和Kubernetes。容器的好处众所周知,例如便携性、一致性和效率。但同时,容器也隐含着一些安全问题。容器安全是一个复杂的事情,类似于网络安全的延伸。容器安全需要人、流程、技术的结合,其中人是最重要的部分。因此,希望广泛采用容器的组织应该帮助现有员工提高技能,并引进一些具备必要技能的新员工,以确保安全的云原生操作模型。其中,容器是该模式的关键组成部分。目前,最大的政府机构和技术权威机构都在关注软件供应链安全,这需要大多数组织无法达到的严格程度和成熟度。通过实施下述实践和工具,同时密切关注行业最佳实践和指南,我们可以更接近安全容器使用的预期最终状态。容器,云安全的一个相互交织的部分首先,了解容器在云环境中的作用以及容器之间的交互是很重要的。云原生生态系统通常具有云安全的四个C:云、集群、容器和代码。云、Kubernetes集群和应用程序的漏洞都有其自身的安全问题,但这些不在本次讨论的范围之内。容器安全不是小事。特别是由于容器存在的状态,例如图像或运行时容器,以及容器内部的层和代码。CNCF发布的白皮书《Cloud-Native Security》是一个良好的开端,有助于更好地理解云原生应用程序、容器及其生命周期。注意容器可移植性的危险容器可移植性是其最显着的优点之一。但这既是优势也是劣势。由于容器通常在多租户架构上运行,如果您将漏洞引入容器然后分发它,您实际上是在将该漏洞发送给使用该映像的每个人。它还可能使它运行的环境处于危险之中。这意味着容器镜像的可移植性和分发等特性可以被广泛利用和共享。这将容器与其他问题结合在一起,例如:开源代码、基础设施即代码(laC)。这些本质上是脆弱的。容器通常由外部开发人员构建,然后分发给企业。这意味着安全编码实践和容器安全最佳实践之类的东西是一个很好的起点,但后者意味着什么?在容器投入生产之前,它会对其进行扫描以检测出现漏洞的一些基础知识。最佳实践包括通过扫描(CI/CD)管道中的容器来防止在运行时将漏洞引入生产环境。Anchore和Trivvy等开源代码以及Snyk等行业领导者都是不错的选择。在管道部署活动期间扫描容器推动了更广泛的安全转移。捕获管道中容器的漏洞,防止漏洞被引入生产环境,防止不法分子利用。这比直接在生产环境中修补漏洞效率更高,同时也降低了风险和成本。因为很多容器都是开发者为了部署应用而创建的,这些工具可以帮助他们解决问题。这比创建一个可能人手不足且负担过重的安全团队来回沟通更有效。这样也避免了价值交付的瓶颈期。尽管如此,在管道中扫描容器镜像并不是万无一失的解决方案。容器镜像通常存储在存储库中,一旦部署到生产环境,就会处于运行状态。所以关键点是:在两种环境中扫描它们。新的漏洞不断出现。因此,简单地从存储库中提取先前扫描的图像并在不进行新扫描的情况下部署它可能会遗漏自上次扫描以来发现的一些新漏洞。这同样适用于生产运行中的脆弱性。由于潜在的不良访问控制情况,正在运行的容器可能已被篡改。我们可以通过识别运行时容器中的漏洞并使用工具通知相关人员来进行调查并可能进行干预。使用容器镜像签名镜像签名是保护容器工作负载的另一项关键活动。众所周知:CIA网络安全的三要素:机密性、完整性和可用性。容器镜像签名就像是一个保证容器镜像完整性的工具。它确保您正在使用的容器镜像未被篡改并且可以信任。这部分操作可以集成到DevOps工作流中,也可以在注册表中完成。对于容器镜像签名,有多个选项可供选择。最著名的之一是Cosign,它支持图像签名以及验证和存储。同时,它还支持一些其他选项,例如硬件、密钥管理服务(KMS)以及它自己的公钥基础设施。另一方面,无密钥签名正在兴起,并受到像Chainguard这样的创新团队的支持。无密钥签名的本质是支持与身份绑定且仅在签名活动期间存在的“短期”密钥。为容器镜像构建软件物料清单即使是容器也无法避免软件供应链中的一些安全问题。企业正在寻找工具来为其容器镜像生成软件物料清单(SBOM)。最著名的例子之一是Anchore的Syft工具。Syft可以为容器镜像创建SBOM,并将这部分操作集成到CI/CD工作流中。同时,Syft还可以让企业更深入地了解其运行在容器生态中的软件,并在出现其他Log4类场景时更好地做出响应。这种可视化水平传统上难以捉摸。但是,在白宫和相关联邦机构的命令(例如网络安全行政命令EO)的指导下,组织越来越关注软件供应链安全。NIST等组织发布了更新的安全软件开发框架(SSDF),要求将SBOM应用于归档和软件发布保护等活动。随着SSDF的发布,对安全开发实践的关注将会增加。容器镜像的SBOM要求正在推动认证。这就是TestifySec和NIST在其软件供应链安全指南中所提倡的。NIST需要SSDF的认证,而SSDF需要使用SBOM。还有一些创新选项可以进一步加强SBOM,例如Syft,它支持对in-toto规范的SBOM认证。这种类型的身份验证有助于签名者证明SBOM是容器映像内容的准确表示。由于其可移植性、简单的扩展性、管理负担低等优点,评论容器在应用软件的部署中得到越来越广泛的应用。然而,容器既没有提供也没有针对不可逾越的安全边界。容器带来的安全隐患也应该得到相应的重视和关注。
