译者|赵庆尧修订|孙淑娟配置文件、库和系统工具。每个容器都包含一个运行时环境,使应用程序能够在各种计算环境之间迁移——例如,从物理机到云端。容器提供了许多好处,但也带来了重大的安全挑战。容器提供了一个新的攻击面,需要不同的安全措施、响应策略和取证方法。容器事件响应是响应容器安全事件的标准化方法。事件响应是一种安全功能,涉及检测影响网络资源和信息资产的安全事件,并采取适当的步骤进行评估和补救。安全事件可能是恶意软件感染、凭证泄露和数据库泄露。容器事件响应有助于停止、遏制、补救和防止对容器化工作负载的安全威胁。为什么容器安全很重要容器被广泛用作DevOps管道中的轻量级构建块,使容器安全成为现代IT安全策略的重要组成部分。与虚拟机(VM)一样,容器包含运行应用程序所需的一切——代码、程序运行时、工具、库、配置信息——与操作系统中设计的环境无关。与VM不同,它具有高度可移植性、启动速度更快并且消耗的资源更少。Docker和Kubernetes等容器平台包含一些基本的安全控制,但容器化应用程序开发通常包含可能易受攻击的第三方软件组件。此外,Docker和Kubernetes默认情况下并不安全,因此确保安全配置至关重要,这在规模上可能很复杂。容器容易受到可以绕过主机隔离的恶意进程的攻击。此外,容器基于可能被攻击者篡改或可能包含旧的或易受攻击的软件组件的图像。当容器不安全时,它们可以在容器内运行其他未经授权的容器和应用程序,在极端情况下,可以让攻击者破坏主机和整个容器集群。为什么取证在云原生环境中有所不同一般而言,取证是信息安全的重要组成部分,尤其是事件响应。这是一个新兴领域,现在有以DFIR(数字取证和事件响应)为中心的专门工具和安全认证。当发生可疑事件时,安全分析师必须执行快速取证和调查以了解发生的情况,确定该事件是否代表真正的安全事件,并收集遏制和消除威胁所需的信息。随着开发人员高速部署代码,执行取证调查变得更加困难。与可以保持数月不变的物理服务器或虚拟机不同,容器是轻量级的临时计算任务,编排器可以随时启动和关闭它们。容器的生命周期可以短至几分钟或几秒,通常以小时为单位。无服务器函数的生命周期要短得多——例如,AWSLambda函数每次执行最多只能运行15分钟。这些非常短的生命周期对安全性、可见性和取证具有深远的影响。因为容器是短暂的,写入容器文件系统的数据通常会在容器关闭时被删除(除非它被明确保存到另一个位置)。像Kubernetes这样的工具会自动安排主机上的工作负载并在主机之间动态移动工作负载,这意味着团队通常无法提前决定应用程序将在哪个主机上运行。为了在云原生环境中启用取证,团队需要能够在高度动态的环境中捕获相关日志数据并能够支持跨多个云和多达数千台主机运行的临时工作负载的策略和技术。制定容器取证事件响应计划在制定容器事件响应计划时,需要考虑三个主要重点领域。预防措施预防措施有助于减少容器的攻击面。例如,您永远不应该提供对容器的根访问权限,限制对kubectl和KubernetesAPI的访问,并确保Kubernetes运行最新版本并且集群具有强化配置。重要的是要利用Kubernetes中可用的安全工具,包括DockerStatisticsAPI,它可以帮助收集系统指标。系统指标对于需要了解容器负载在大规模运行时如何影响系统的分析师很有用。基于这些指标,DevOps和安全团队可以了解容器和Pod内部发生的情况。例如,他们可以确定敏感文件是否丢失或未知文件是否已添加到容器中,监控实时网络流量,并识别容器或应用程序级别的异常行为。数据保存和调查在发生事件时,重要的是要保存必要的证据以供进一步调查:不要关闭看似受到威胁的节点或容器。这使得无法确定根本原因。利用快照技术备份正在运行的可疑受感染容器。识别关键证据并获得足够的可见性以了解根本原因和影响。尝试分析尽可能多的数据源。事件响应计划使用以下最佳实践来确保您在容器受到攻击时做好准备:分配事件响应负责人并在发生重大事件时充当关键决策者。定义一个事件响应计划,其中包含针对不同类型的安全事件要遵循的明确步骤。定义发生违规时响应者应使用的沟通和升级渠道。了解法律和合规义务,这可能需要在指定时间段内报告违规行为。进行红队演练和评估,不断完善安全防御,为真实事件做好准备。在本文中,我展示了容器安全和事件响应的基础知识,解释了容器取证的基础知识,并为您的容器事件响应计划提供了三个构建块:预防措施——您可以采取的措施,减少攻击面和首先防止对容器的攻击。数据保存和调查——确保在发生攻击时,您可以将数据保存在容器中以供调查和响应。事件响应计划——制定一个计划来定义容器事件响应的负责人、发生攻击时他们应该采取的步骤以及如何测试该计划以确保其有效。我希望这将帮助您提高组织应对云原生环境威胁的能力。译者介绍赵庆尧,一位从事驱动开发多年的社区编辑。他的研究兴趣包括安全操作系统和网络安全,并发表了与网络相关的专利。原标题:集装箱被攻击怎么办:一个事件响应计划,作者:SagarNangare
