CobiNet(寧波)推薦文章:
容(r���������ong)器給將安全性(xing)融入(ru)發展(zhan)和操作過(guo)程中提供了一個千載難逢(feng)的(de)機會(hui),讓我們(men)把握住這個機������會(hui)。
當(dang)企(qi)業開發應用程(cheng)序時,安全性(xing)仍被看做是(shi)一個(ge)事(shi)后考慮(lv)項,在(zai)(zai)應用發布之(zhi)前(qian)才會(hui)涉及(ji)。軟件容器的迅(xun)猛(meng)發展,為把(ba)安全性(xing)納入上游開發過程(cheng)(或(huo�����)在(zai)(zai)devops術語中稱(cheng)為 左移 )提供了一個(ge)難(nan)得的機會(hui),并成為早期綜合性(xing)和(he)整個(ge)軟件交付的管道。然而,大多(duo)數安全團隊不知道容器為何物,更不必說了解(jie)它(ta)們獨(du)特(te)的安全挑戰是(shi)什么了。
軟件(jian)容(rong)器(qi)可以(yi)被認(ren)為(wei)是系(xi)統需(xu)求(qiu)更為(wei)精(jing)簡的(de)輕量級虛擬器(qi)。在(zai)運(yun)行時,容(rong)器(qi)共享主(zhu)機(ji)的(de)操作系(xi)統內核(he),大(da)大(da)減(jian)少了信息(xi)處(c��������hu)理(li)量(只有(you)兆字(zi)節),加快了運(yun)行速(su)度。容(rong)器(qi)啟動(dong)一個虛擬器(qi)僅需(xu)幾(ji)秒而不是幾(ji)分鐘。
容器自21世紀初期就出現了,并(bing)于2007年被構架(jia)到Linux中。因(yin)其占用(yong)空間小和便攜(xie)性(xing),與虛擬(ni)器相比同(tong)樣的(de)硬(ying)盤可以支持更(geng)多的(de)容器,極大(da)的(de)減(jian)少了基礎(chu)�������設施成本,加(jia)快(kuai)了更(geng)多應(ying)用(yong)程序的(de)運行速度。
然而,由于可用(����yong)性(xing)問題,容(rong)(rong)器(qi)并未流行(xing),直到Docke������r加(jia)入后改(gai)善了(le)其可用(yong)性(xing)和對(dui)企業的(de)適用(yong)性(xing)。如今(jin)容(rong)(rong)器(qi) 和Docker 變得炙手可熱(re)。今(jin)年早些時候,摩根大通和梅隆銀(yin)行(xing)公開表示,他們正(zheng)在尋求一種基于容(rong)(rong)器(qi)的(de)發展戰略,證明(ming)了(le)容(rong)(rong)器(qi)對(dui)傳(chuan)統企業的(de)發展有(you)巨大的(de)推動力,就像云之于谷歌、優步和Yelp。
就(jiu)像容(rong)器的(de)卓越性一樣,它(ta)們(men)也帶來了獨特的(de)新風(feng)險。通常情況下,只有在(zai)(zai)新技術出�����現時才會發生此類事件,因(yin)(yin)此安全意(yi)識并未構建在(zai)(zai)容(rong)器內(nei)部。如果容(rong)器不在(zai)(zai)你(ni)的(de)雷達上,那么現在(zai)(zai)是時候(hou)加(jia)速了,因(yin)(yin)為(wei)它(ta)們(men)很有可能已經在(zai)(zai)你(ni)們(men)公司(si)內(nei)部的(de)某個地(di)方開始運(yun)行(xing)。我列(lie)出了在(zai)(zai)使用容(rong)器時會面(mian)臨的(de)5個獨特的(de)問題。
1.容器(qi)圖像中(zhong)的漏洞(dong)管理(li)
圖像(xiang)是構建�������容(rong)器的(de)基石。開發人(ren)員可以(yi)輕(qing)易地(di)創(chuang)建自己的(de)圖像(xiang),或者從Docker 樞紐和其他集(ji)中開源注(zhu)冊中心(xin)下載公共圖像(xiang)。使(shi)容(rong)器的(de)使(shi)用達到高度自動化,過程靈活。
從安全性和管理方式的角(jiao)度(du)看,信任容器圖像(xiang)是貫穿整個軟件開(kai)發(fa)生命周(zhou)期的關鍵考(kao)量。確(que)保圖像(xiang)的簽署和來源于一個可信的注冊處是保障安全的最佳做(zuo)法。不(bu)過,堅持(chi)這些做(zuo)法并(bing)不(bu)足以應(ying)對審(s�����hen)批(pi)和驗證代(dai����)碼的核心(xin)挑戰。
在(zai)容器環境(jing)����中(zhong)(zhong),圖(tu)像被不斷地加入到(dao)企業(ye)的私人(ren)注冊(ce)處(chu)和樞紐,容器負責圖(tu)像的收(shou)入和輸(shu)出。即(ji)使列出了圖(tu)像的漏(lou)洞(dong),基于對其(qi)公司(si)安全(quan)事件和政策的考量(liang),開發(fa)團隊也很少能提出解決辦法。例如(ru),開發(fa)人(ren)員從(cong)一(yi)個(ge)注冊(ce)處(chu)中(zhong)(zhong)選取了一(yi)個(ge)有1000處(chu)漏(lou)洞(dong)的圖(tu)像。這個(ge)數字本身的上下波動并沒有可(ke�������)操作(zuo)性(xing)。有多(duo)少諸如(ru)此類的漏(lou)洞(dong)發(fa)生呢?為什(shen)么?
放大開放源圖(tu)(tu)像(xiang)的(de)問題(ti)相對容易(yi),特別是(shi)有多(duo)個圖(tu)(tu)層的(de)圖(tu)(tu)像(xiang)尤其容易(yi)。為加速資源配置在圖(tu)(tu)像(xiang)中創建越(yue)多(duo)的(de)圖(tu)(tu)層,軟件(jian)組件(jian)就會面臨越(yue)大的(de)風(feng)險(xian),包括開放源組件(jian)。風(feng)險(xian)會在不被掃����(sao)描、驗證或修補的(de)情(qing)況下產生。
我們已將發現(xian),由于企業(ye)沒有(you)一(yi)個系(xi)(xi)������統的(de)容器漏洞評(ping)估體(ti)系(xi)(xi),導致(zhi)容器化措施施行受阻甚至(zhi)擱淺(qian)。因此,一(yi)個不斷改進的(de)漏洞評(ping)估和修復體(ti)系(xi)(xi)要作為完整的(de)一(yi)部分被納入企業(ye)的(de)IT風險和治(zhi)理計劃中去(qu)。
2.減少容器的攻擊面
減(jian)少(shao)(shao)攻擊面是保(bao)(bao)(bao)障安(an)全性(xing)的(de)基(ji)本原則。防止代(dai)碼漏洞進入(ru)環(huan)境是減(jian)少(shao)(shao)一個(ge)關鍵攻擊面的(de)完美示例,需(xu)������要注(z������hu)意的(de)是,容(rong)器化有特定(ding)結構(gou)和(he)操作要素(su)。主要是,除了要保(bao)(bao)(bao)障主機的(de)安(an)全性(xing),更要保(bao)(bao)(bao)障容(rong)器中潛(qian)在(zai)的(de)共享(xiang)內(nei)核架構(gou)的(de)安(an)全性(xing);這需(xu)要維(wei)護標(biao)準配(pei)置和(he)容(rong)器配(pei)置文件。
不像在虛擬化環(huan)境中(zhong),虛擬機管(guan)理程序作為其控制點,任何(he)用戶(hu)或服務訪(fang)問內核根賬戶(hu)能(neng)夠查看和(he)訪(fang)問所有(you)所有(you)容器(qi)共享Linux內核。安全團隊(dui)可(ke)(ke)以依靠驗證的方(������fang)法來強化內核和(he)主(zhu)機,但這離用成熟和(he)可(ke)(ke)復驗的方(fang)式來確保特定于容器(qi)環(huan)境中(zhong)操(cao)作過程的安全還差得(de)很(hen)遠。
其中的(de)很多過(guo)程是(shi)容器(qi)化(hua)中固有(you)的(de)。例如,容器(qi)本身依靠內核以及一系(xi)列服務利用(yong)(yong)Docker防護程序通過(guo)系(xi)統調(diao�������)(diao)用(yong)(yong)。而Docker在調(diao)(diao)用(yong)(yong)開������箱seccomp(安全計算(suan)模式)配置文件(jian)的(de)能力(li)有(you)了(le)顯著提高,這些(xie)文件(jian)只在默認(ren)情況(kuang)下禁(jin)用(yong)(yong)52系(xi)統調(diao)(diao)用(yong)(yong),出于X64計算(suan)機中的(de)313可用(yong)(yong)性,仍留下了(le)一些(xie)開放的(de)260系(xi)統調(diao)(diao)用(yong)(yong)。
另一(yi)個(ge)例子是把(ba)Docker防(fang)護程(cheng)序綁定到Unix Docker訪問組(zu)或TCP端口從而允許容器互相(xiang)交流(liu),此(ci)外,也(ye)有(you)提供(gong)給所(suo)用用戶(hu)根(gen)權限的(de)作用。根(gen)開放(fang)可以(yi)減少運(yun)營(ying)摩擦,但是可能會(hui)使安全部門對違反最小特權訪問原則(ze)表示(shi)�������不滿。
解決隔離和(he)容(rong)(rong)器通�������訊(xun)、操作和(he)開(kai)發(fa)之間的(de)內在張力(li)意味著所采取的(de)措(cuo)施既要控制容(rong)(rong)器內部相互影響的(de)程度,也(ye)要限制通過插孔或開(kai)放的(de)端(duan)口進(jin)入到Docker 群(qun)組(zu)的(de)容(rong)(rong)器的(de)數量(liang)。
3.加強用戶訪問控制(zhi)
直到最近,根在默認情況下訪問(wen)Docker主(zhu)(zhu)機(ji)是(shi)一(yi)(yi)個(ge)非此(ci)(ci)即彼(bi)的命題,使安全專員對此(ci)(ci)十分焦慮。雖然限制(zhi)訪問(wen)容器主(zhu)(zhu)機(ji)根賬(zhang)戶(hu)(hu)花費了他(ta)們大量的精(jing)力 并且推(tui)動了Docker在系統中刪(shan)除(chu)特(te)(te)權訪問(wen)這一(yi)(yi)新(xin)功能的投資(zi) 對安全更廣(guang)泛的關注(������zhu)是(shi)對特(te)(te)權賬(zhang)戶(hu)(hu)的強制(zhi)訪問(wen)控制(zhi)和(he)部署管道的操作(zuo)運行(xing)。顯而易(yi)見,擴大創建實用有效的訪問(wen)控制(zhi)規模很有益處:可(ke)以保(bao)證(zheng)問(wen)責性(xing)和(he)操作(zuo)一(yi)(yi)致性(xing)。
問(wen)(wen)(wen)責需(xu)要一(yi)定的能力(li)以便(bian)查明是(shi)什么(me)改變了(le)(le)容(rong)器的設置(zhi)或(huo)配置(zhi)或(huo)下載圖像或(huo)在生產中創建了(le)(le)一(yi)個容(rong)器。擁(yong)有(you)(you)通(tong)用的根(gen)(gen)訪問(wen)(wen)(wen)權(quan)(quan)限之后,要確定是(shi)什么(me)做(zuo)出了(le)(le)改變幾乎是(shi)不(bu)可能的。即(ji)使(shi)根(gen)(gen)訪問(wen)(wen)(wen)可�����能是(shi)開發人員在工(gong)作過程中所需(xu)要的最(zui)簡單的一(yi)種訪問(wen)(wen)(wen)方式,這也(ye)意味著他們(men)有(you)(you)太多的訪問(wen)(wen)(wen)權(quan)(quan)限。此外,得到訪問(wen)(wen)(wen)根(gen)(gen)賬戶權(quan)(quan)限的攻(gong)擊者就相當(dang)于得到了(le)(le)任(ren)意訪問(wen)(wen)(wen)容(rong)器的權(quan)(quan)限,包(bao)括其(qi)數據和程序。
應用(yong)集中(zhong)管理約(yue)束條(tiao)例(li)使(shi)用(yong)戶可以基于自己的角色做出更改或命令(ling),而不是他們訪(fang)(fang)問(wen)根賬(zhang)戶的能力(li),使(shi)企業能夠定義和(he)執行(xing)標�������準流(liu)程。實現職(zhi)責分離(li)訪(fang)(fang)問(wen)和(he)基于用(yong)戶角色的命令(ling)約(y������ue)束條(tiao)例(li)是確(que)保(bao)通過軟件(jian)開發生命周期的基礎(chu)。
如果不采(cai)取集中的(de)(de)方式(shi),很難(nan)確(que)定每個容(ron�������g)器中不同的(de)(de)用戶(hu)和(he)其對應的(de�������)(de)不同的(de)(de)特(te)權是否(fou)合適,與其職能作用和(he)最小訪問特(te)權是否(fou)一致。
4.硬化主機
容(rong)器化最重要的好��������處之一就是它獨(du)立(li)于應(ying)用������程序(xu),可以在任(ren)何地(di)方獨(du)立(li)運行(xing)而不依賴于任(ren)何自給(gei)系(xi)統。
一(yi)個(ge)重要的(de)(de)(de)(de)意義是有了專門的(de)(de)(de)(de)工具來(lai)限(xian)制哪(na)些(xie)(xie)是自(zi)給系統(tong)可(ke)以(yi)訪(fang)問(wen)和使(shi)用(yong)的(de)(de)(de)(de),哪(na)些(xie)(xie)是不可(ke)以(yi)訪(fang)問(wen)和使(shi)用(yong)的(de)(de)(de)(de)。對照組和命(ming)名(ming)(ming)空間(jian)是關鍵容(ron�����g)器(qi)的(de)(de)(de)(de)隔離元件。對照組決定(ding)一(yi)個(ge)容(rong)器(qi)可(ke)以(yi)使(shi)用(yong)多少(sh������ao)共享內核和系統(tong)資源(yuan)。命(ming)名(ming)(ming)空間(jian)決定(ding)了一(yi)個(ge)容(rong)器(qi)可(ke)以(yi) 查看 或有效(xiao)確(que)(que)定(ding)容(rong)器(qi)被授權訪(fang)問(wen)哪(na)些(xie)(xie)資源(yuan)。這(zhe)些(xie)(xie)組件的(de)(de)(de)(de)設計目標(biao)非(fei)常明(ming)確(que)(que):無論你想在(zai)哪(na)個(ge)服務(wu)(wu)器(qi)中運行多種服務(wu)(wu),這(zhe)些(xie)(xie)服務(wu)(wu)彼此盡可(ke)能相(xiang)互隔離,這(zhe)是確(que)(que)保安全性和穩定(ding)性至(zhi)關重要的(de)(de)(de)(de)一(yi)點。
嚴(yan)苛(ke)的細節確保了對照組(zu)和命(ming)名空(kong)間中�������配(pei)置(zhi)的恰當性(xing)和一致性(xing),并且保證了配(pe���i)置(zhi)和安全政(zheng)策相(xiang)符。
盡(jin)管對照組和命名(ming)空間隔離可以用(yong)(yong)來限制對容器(qi)中內核資(zi)源(yuan)的(de)訪問,但它并不(bu)能(neng)有效地(di)隔離容器(qi)的(de)執行(xing)路徑(jing)。資(zi)源(yuan)隔離對檢測和預(yu)防濫(lan)用(yong)�����(yong)特(te)權或(huo)打破容器(qi)中的(�������de) 箱 等擴大化攻擊無效。
在運行防御和(he)容(rong)器(qi)分析過程中缺少分層法來(lai)保證對其的有(you)效控(kong)制(zhi)和(he)可見性,由于配置錯誤或攻擊者采(cai)������取明確(que)的行動操控(kong)命名空(kong)間,容(rong)器(qi)的安全性很(hen)容(rong)易就被破壞了。例(li)如,容(rong)器(qi)環境(jing)下拒絕(jue)服務攻擊與 流氓(mang) 容(rong)器(qi)消耗更多(duo)的內(nei)核資源(yuan)和(he)擠(ji)占(zhan)其他過程并無二致。
5.容器安全過(guo)程的自(zi)動化
在(zai)(zai)安全(quan)(quan)性(xing)(xing)領域,將(jiang)安全(quan)(quan)的理念落實(shi)到(dao)(dao)實(shi)際操作(zuo)中去 而且(qie)不僅(jin)(jin)僅(jin)(jin)是隨后在(zai)(zai)書面�����上描摹它 像是一個遙不可及的夢(meng)想。盡管在(zai)(zai)DeVops和安全(quan)(quan)團(tuan)隊中存(cun)在������(zai)(zai)著(zhu)一些領域或(huo)文化分歧,將(jiang)安全(quan)(quan)滲(shen)透到(dao)(dao)容器的創(chuang)建、傳送(song)和運(yun)行的過(guo)程中毫無疑問(wen)是企業(ye)最感興(xing)趣的。這不僅(jin)(jin)會使(shi)內(nei)部應用程序更(geng)加安全(quan)(quan),也會調動DeVops和安全(quan)(quan)團(tuan)隊的積(ji)極性(xing)(xing),培養更(geng)具(ju)協(xie)作(zuo)性(xing)(xing)的文化。
由于安(an)(an)全團隊��������(dui)往(wang)往(wang)沒有意識到導(dao)致容器在生產中(zhong)運行的(de)過程,重要的(de)是要涉及到他們(men)工作流程的(de)定(ding)義和(he)促進知識的(de)轉化。因此,他們(men)可以(yi)(yi)給適(shi)當的(de)控制和(he)實踐提(ti)供指導(dao)原則以(yi)(yi)滿足(zu)其安(an)(an)全標準和(he)審計要求。
換(huan)句話說,DeVops應(ying)該做它(ta)(ta)們(men)最擅長的(de)事情:自動化(hua)。基(ji)于容器的(de)��������應(ying)用程(cheng)(cheng)序(xu)開(kai)發過(guo)程�������(cheng)(cheng)已經(jing)實現高度自動化(hua)。使(shi)用CI/CD和業務流(liu)程(cheng)(cheng)工(gong)具是在容器的(de)整個(ge)生命周期中保(bao)障(zhang)安全的(de)最佳實踐,這(zhe)使(shi)建(jian)立安全管理框(kuang)架的(de)過(guo)程(cheng)(cheng)變得透明和相(xiang)對(dui)安全簡單。它(ta)(ta)將(jiang)建(jian)立一(yi)個(ge)高度安全基(ji)線,減少了(le)對(dui)后續安全工(gong)作的(de)需要(yao),也降低了(le)安全成(cheng)為部署障(zhang)礙的(de)可能性。
我們(men)都知(zhi)道當安全(quan)(quan)不(bu)是(shi)優先級時發生(sheng)了什么(me),所(suo)以除了回滾以外(wai)還(huan)有什么(me)其他(ta)的(de)(de)選(xuan)擇嗎?容(rong)(rong)器(qi)為正確地解決這一(yi)(yi)(yi)問(wen)題提供了一(yi)(yi)(yi)個很好的(de)(de)機(ji)會,因為他(ta)們(men)已(yi������)經(jing)完全(quan)(quan)實(shi)現(xian)了自(zi)(zi)(zi)動(dong)化。將安全(quan)(quan)過程(cheng)自(zi)(zi)(zi)動(dong)化到可(ke)操(cao)作的(de)(de)工作流程(cheng)中(zhong)可(ke)能是(shi)一(yi)���(yi)(yi)個新的(de)(de)安全(quan)(quan)措施,但(dan)是(shi)這并(bing)不(bu)是(shi)第一(yi)(yi)(yi)次在容(rong)(rong)器(qi)中(zhong)出現(xian),其自(zi)(zi)(zi)動(dong)化已(yi)經(jing)成為所(suo)有方面的(de)(de)業務(wu)(網絡、存儲等)的(de)(de)規(gui)范。安全(quan)(quan)僅(jin)僅(jin)成為另一(yi)(yi)(yi)種(zhong)滿足自(zi)(zi)(zi)動(dong)化的(de)(de)要求。
DeVops規定在(zai)應用(yong)程(cheng)序的整(zheng)個生命周期中(zhong)采用(yong)自動化(hua)和協作精神來加(jia)快靈(ling)活開發(fa)速(su)度(du)以(yi)(yi)實現目標。安全性(xing) 是目�����前為止在(zai)生產過程(cheng)中(zhong)最必(bi)不可(k����e)少(shao)的 可(ke)以(yi)(yi)使用(yong)相(xiang)同的方法來達到與其(qi)相(xiang)左的結果。
安(an)全專業人(ren)員面臨的最(zui)大挑戰:他們可能不(bu)清楚容器部署計劃(hua),甚(shen)至在其實(shi)施過(guo)程(cheng)中也不(bu)了(le)解。安(an)全團隊的參與宜早不(bu)宜遲-DeVops操作過(guo)程(cheng) 而(er)不(bu)是等(deng)到(dao)用(yong)生產壓力和生產過(guo)程(c����heng)延(yan)遲取代提(ti)高效率(lv)。在此(ci)之前(qi���an)我(wo)們看(kan)到(dao)過(guo)那種場景;沒有人(ren)想看(kan)第二(er)次。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類,六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產廠家。
歡迎來電咨詢(xun)0574 881689������18,郵箱sales@aliance.cn,網址(zhi)aliance.cn
