如何避免6個常見的容器安全誤區

Bob Violino

隨著越來越多的企業將數據和工作負載遷移到云上，很多企業都依賴于容器——將代碼及其相關項封裝在一起的軟件單元，以便應用程序在不同的計算環境之間遷移時能夠可靠地運行。Clemson大學遺傳與生物化學系的云架構師Cole McKnight表示，容器化被認為是一種以安全方式部署應用程序和服務的強大技術。

McKnight介紹說，Docker和Singularity等容器引擎提供了一種方法來為具體應用程序實施和分發最佳實踐安全策略，而不是依靠某個用戶來配置安全安裝。McKnight說：“K8s、Mesos或者Docker Swarm等容器編排平臺集成了安全機制，專門用于部署和執行容器。其結果是產生了易于配置的生態系統，用于開發和部署容器。”

McKnight說，這些技術把交付安全應用程序和服務傳統上所涉及的很多復雜問題抽象化了，而一些開發團隊認為這在一定程度上能保證安全。問題是，容器實現不是萬無一失的，開發團隊在使用它們時所犯的錯誤可能會造成安全問題，而不是解決安全問題。

1.太專注于容器本身

McKnight說：“實施安全容器時，最常見的錯誤是只關注容器本身。”他說，采用鏡像安全的最佳實踐非常重要，但開發人員通常是把重點放在鏡像的安全性上，而沒有考慮執行環境。

McKnight說：“容器內的任何安全機制都無法保護其免受主機的攻擊。承載容器引擎的每臺計算機必須在每一層都受到保護，以防出現任何傳統上可被利用的漏洞。”

McKnight說，容器引擎和容器編排平臺（如果適用）必須配置為能夠正確使用集成的容器安全機制。“所以，容器的安全是以主機操作系統和網絡為基礎的。”

2.認為代碼庫是安全的

獨立網絡安全顧問Tony Asher指出，在部署容器時，一些企業會犯錯誤，把代碼庫包括在內，并認為它們是安全的。Asher說：“這包括開發套件中的庫。更為嚴重的是，通常為了加快開發而引入了第三方庫。”

Asher說，安全問題在于這些應用程序代碼庫中可能存在漏洞。“編譯應用程序，并將其引入到產品容器中可能會導致漏洞攻擊而帶來嚴重風險。”

為了解決這個問題，Asher建議企業在考慮導入第三方庫時，把庫限制在應用程序容器滿足其成功標準所需的范圍內，掃描代碼以查找漏洞，并應用安全檢查過程。

3.給予容器不必要的特權

風險投資公司ClearSky的管理合伙人Jay Leek說，給容器太多特權是很常見的，攻擊者可以濫用這些特權來利用容器不應該訪問但確實能夠訪問的資源。Leek說：“在此，應該應用最小特權原則，但要執行運行時行為監視，以確保能夠檢測到濫用任何必要的應用程序特權的情況。”

McKnight說，一種常見的做法是在執行環境中以特權方式運行容器。他說：“取決于主機的軟件堆棧，這會有所不同。”但是在主機環境中給予容器不必要的特權會帶來嚴重的問題，不僅會導致容器被攻破，主機也會被攻破。

McKnight說，當需要特權時，應該謹慎地以精細的粒度給予特權。“最佳實踐是避免在主機環境中為容器配置了全部權限。”

4.過度公開容器

類似的，要以同樣的理念來設計在執行時需要公開給公共網絡的容器。McKnight說：“應該只開放絕對必要的通道，而不是配置全部策略導致容器公開而受到攻擊。”

在網絡方面，需要仔細考慮容器的數據和進程公開給其他實體的方式。McKnight說：“容器安全還是以傳統操作系統和網絡安全為基礎。”必須檢查容器與外部卷、網絡和進程之間的任何交互。

5.未能正確檢查鏡像

企業在部署容器時通常忽略的另一個因素是它們所基于的鏡像。McKnight說：“開發人員通常會犯的錯誤是，在將另一方開發的鏡像集成到他們的解決方案之前，不對其進行適當的檢查。”

在從公共注冊表部署容器或者將其用作基本鏡像之前，應對其進行掃描以查找惡意軟件和漏洞。McKnight說，此外，企業應該有一名經驗豐富的開發人員徹底檢查鏡像，找出不必要的漏洞。

McKnight說：“如果認為推送到公共注冊表處的鏡像是安全的，這可能是非常危險的，特別是用它們構建其他鏡像時。”

6.不尊重不可變鏡像的原則

Asher指出，不可變鏡像是不會改變的。他說：“這是Docker、K8s和其他容器解決方案的一個原則。”在零信任的互聯網上部署系統和數據時，應建立一個確保完整性的流程。

不可變鏡像有一些優點，例如可預測、可銷售以及可實現自動恢復。Asher說，還有完整性，這是安全的核心目標之一。

Asher說：“當產品容器不遵循不可變原則時，應用程序支持就能夠連接上它們并進行修改。這種行為會引發多重安全隱患。具體來說，它會破壞容器的完整性。”

最令人擔憂的風險之一是惡意行為者將容器修改為包含惡意代碼。Asher說，這會對企業造成重大影響。監控容器的完整性可以極大地降低這種風險。

Asher說：“改進并糾正部署流程，以防止產品容器發生變化。一定要在質量保證和測試環境中進行更改，而且更改是得到批準的，然后部署新的不可變鏡像以替換舊鏡像。”

Bob Violino目前在紐約，是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

原文網址

https：//www.csoonline.com/article/3541149/6-common-container-security-mistakes-to-avoid.html