江苏龙网

  1. 首页 > 资讯 > 科技 > >

「容器」青藤云安全:容器安全的10层防护( 二 )


?容器内部的内容会损害基础架构吗?
?应用程序层中是否存在已知漏洞?
?运行时和操作系统层是否最新?
?容器多久更新一次 , 怎么才能知道容器更新了呢?
首先 , 需要确保容器镜像使用可信来源 。 经过认证的容器才可以在裸机、VM、云端运行 。 之后 , 需要对容器安全进行监控 。
建议采用一些容器扫描工具 , 这些工具会持续更新漏洞数据库 , 以确保在使用其它来源的容器镜像时 , 始终可以获得有关已知漏洞的最新信息 。 由于已知漏洞的列表在不断发展 , 因此 , 当首次下载容器镜像时 , 需要检查容器镜像的内容 , 并随着时间的推移继续跟踪所有已审核和部署的镜像的漏洞状态 。
3.容器镜像仓库(容器镜像的安全访问)
采用持续更新漏洞库的扫描工具来跟踪部署的容器镜像以及新下载的镜像的内容 。 此外 , 镜像仓库应包含一些有助于针对容器元数据(包括已知漏洞)进行内容管理的功能 。 例如 , 可以在镜像仓库中标记易受攻击的镜像 。 标记后 , 将阻止该镜像继续运行 。
有许多私有镜像仓库支持容器镜像的存储 。 建议选择一个私有镜像仓库 , 帮助自动制定存储在镜像仓库中的容器镜像的使用规则 。 私有镜像仓库可用于管理容器镜像 , 也可提供基于角色的访问控制 , 管理谁可以拉取、推送特定的容器镜像 。
4.构建过程安全
在容器化环境中 , 软件构建过程是整个生命周期中将应用程序代码与所需的运行时库集成在一起的阶段 。 构建过程的管理是确保软件栈安全的关键 。 秉承“一次构建 , 随处部署”的理念 , 确保构建过程的产品正是生产中部署的产品 。 也就是保持容器的不变性 , 换句话说 , 不要为运行的容器打补丁;而是应该重新构建、重新部署 。
很多容器平台包含了Jenkins集成实例 , 以实现持续集成 , 有些还包含丰富的RESTful API , 可用于集成CI工具或私有镜像仓库 , 例如JFrog的Artifactory 。
「容器」青藤云安全:容器安全的10层防护
图片

应用程序安全的最佳实践是将自动化安全性测试集成到构建或CI流程中 。例如 ,
集成静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)工具 , 例如HP Fortify和IBM AppScan 。
集成扫描程序 , 用于实时检查已知漏洞(例如Black Duck Hub和JFrog Xray) 。诸如此类的工具会在容器中对开源软件包进行分类 , 将通知所有已知漏洞 , 发现新漏洞时进行更新 。
此外 , CI流程应包括一些策略 , 对通过安全扫描发现的问题进行标记 , 这样安全团队可以采取适当的措施来尽快解决这些问题 。 无论是来自监管要求 , 还是优化团队工作需求 , 都建议在设计容器镜像管理和构建过程 , 利用容器层来实现分离控制 。
?运营团队可以管理根镜像 。
?架构师管理中间件、运行时、数据库和其它此类解决方案 。
?开发人员专注于应用程序层 , 仅编写代码 。
最后 , 建议对定制容器进行签名 , 确保容器镜像在构建和部署中间不会被篡改 。
5.部署:控制集群内部署的容器镜像
如果在构建过程中发生任何故障 , 或者在镜像部署后发现漏洞 , 那么还需要另一层安全保护:基于策略的自动部署工具 。
为安全起见 , 制定自动化策略 , 自动管理容器部署是一项有效的安全方案 。 可以制定一组pod运行条件 , 让管理员控制以下内容:
?运行特权容器 。
?容器可以请求添加的功能 。
?使用主机目录作为存储卷 。
?容器的SELinux上下文 。
?创建seccomp配置文件 。
?容器用户ID 。
通过将CI / CD与自动化策略集成在一起 , 可以完全自动化地重建应用程序 , 整合最新的补丁程序和测试并确保将其部署在环境中的所有位置 。
6.容器编排:确保容器平台安全


推荐阅读


上一篇:『企业』百胜智库业务共创会,与伊美源一起共建数智未来

下一篇:【iPad】iPad断货?转转平台数码行情:二手iPad和平板同样热销