容器安全五大風險
責編:gltian |2020-08-05 14:29:04市場調研公司Allied Market Research估測,到2025年,容器應用市場的價值將從2016年的6.98億美元增長到82億美元。31.8%的復合年均增長率,很大程度上反映出應用容器技術正在飛速普及,公司企業也在加大云端遷移的步伐。
然而,應用容器的前景并非全然樂觀。事實上,Allied Market Research發現,安全風險在一定程度上阻礙了應用容器市場的增長。而且,這樣的風險還不會馬上消失。因此,公司企業若想將容器技術納入自身生產運營環境,就需要了解這些安全風險。
本文將特別圍繞容器安全的五種風險展開討論:啟用微服務、依賴不安全基礎鏡像、容器可見性不完整、容器通信不受限、容器配置不安全。
啟用微服務
CIO解釋稱,容器是由整個運行時環境(包括二進制文件、庫和其他組件)構成的一類技術,從設計上就將各操作系統發行版的差異消弭于無形,因而開發運維團隊可以很方便地利用容器分配資源和共享代碼。
與容器一樣,微服務也相當有用。但微服務主要是對開發人員有利。微服務為什么有利于開發?私有云服務提供商Gravitational將之歸結為:微服務遵循的軟件設計方法就是奔著完成小型任務去的。因而,開發團隊能夠利用微服務輕松部署代碼,既不用中斷其他團隊成員的工作,也不用擴展他們的服務。
雖然各自獨立,但容器和微服務是緊密相關的。容器有助于啟用微服務,因為使用容器可以更輕松地將任務分解為較小的元素,并與其他團隊成員共享。問題在于,微服務給公司企業帶來了安全風險。微服務使用獨立API相互通信,從而引入了可供惡意黑客入侵公司企業的其他渠道。微服務還引入了一些日志,安全人員可能會通過這些日志來篩選安全事件指征。但如果這些服務跨多臺主機運行,則安全團隊幾乎無法手動管理這些日志。
依賴基礎鏡像
公司企業還需擔心容器鏡像的安全。容器鏡像是包含可執行代碼的靜態文件,利用這些可執行代碼,在公司企業的IT基礎設施上作為獨立的進程運行。
如果不甚清楚鏡像來源,容器鏡像的這種本質就會使這些資源變身安全風險。正如Kubernetes在其網站上指出的那樣,從不熟悉的源提取容器鏡像,無異于在計算機上運行未知軟件。這種情形下,誰都不知道容器鏡像能干出點兒什么來。隱藏惡意軟件秘密盜取敏感信息?給惡意黑客分配網絡訪問權?都有可能。除此之外,已知安全漏洞也有可能令容器鏡像元氣大傷:如果沒打補丁,這些漏洞可能為惡意黑客提供入侵容器環境所需的一切。
容器可見性
容器本就不是為了長期使用而設計的。公司企業使用容器,是想能夠根據自身不斷發展的需求旋上或旋下容器。采用容器技術,公司企業可以快速適應新興業務需求,方便快捷地發布符合客戶喜好的軟件。
但這種動態性有其固有的風險,因為這樣一來,公司企業就難以全面監測其整個容器環境了。不清楚自身環境中都有些什么,也就無法弄清該怎樣恰當保護這些系統的安全。不僅如此,這種動態性也給合規造成了麻煩,因為傳統靜態IT資產的防火墻規則不適用于動態的容器環境。
容器通信
容器不是彼此隔離的。在網站的另一部分上,Kubernetes解釋稱,默認情況下不限制pod容器之間的通信流。這種配置使pod容器可以相互接收和發送流量。與之相對的,攻擊者也能入侵一個pod,然后濫用此配置獲取其他pod的權限。
容器配置
通信并不是公司企業在容器方面需要關注的唯一設置。還有配置問題。默認情況下,容器是可以獲取新權限的。這些權限使得攻擊者有可能濫用一個容器來染指容器環境的其他部分。
如何應對這些風險
如果實現容器安全最佳實踐來解決上述風險。值得考慮的一些建議包括:
- 僅使用受信基礎鏡像來構建容器:公司企業需知道從何處獲取容器,以及其中包含什么內容。
- 防止容器獲取新權限:安全團隊需專門設置此項控制,防止惡意黑客發起提權攻擊。鏡像中的setuid和setgid權限也應考慮刪除。
- 采用鏡像掃描策略:公司企業需經常掃描其各個鏡像。作為掃描過程的一部分,應拒絕最近未經掃描的鏡像進入構建階段,或者重新掃描后再進入構建階段。為簡化操作,公司企業應將鏡像掃描納入治理策略中。