加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 安全 > 正文

裸奔的容器,其安全问题迫在眉睫

发布时间:2022-04-29 11:18:06 所属栏目:安全 来源:互联网
导读:最近测容器安全,才发现部署的容器云平台和容器应用几乎在裸奔,每个镜像和容器都有各种各样的漏洞,平台本身也不少问题,真是不测不知道,一测吓一跳。容器本身就是弱安全的,容易带来越权逃逸等问题,同时容器应用研发人员对容器技术又缺乏了解,缺乏相应
  最近测容器安全,才发现部署的容器云平台和容器应用几乎在裸奔,每个镜像和容器都有各种各样的漏洞,平台本身也不少问题,真是不测不知道,一测吓一跳。容器本身就是弱安全的,容易带来越权逃逸等问题,同时容器应用研发人员对容器技术又缺乏了解,缺乏相应的安全意识和安全知识,这就带来了比较严重的潜在的安全问题。
 
  容器安全问题涉及内容很多,比如说镜像安全、容器运行时安全(入侵检测监控、入侵拦截和隔离)、容器平台自身的安全、容器网络安全、微隔离等,任何一项内容做好都不容易,而且又可能涉及多个部门和团队,需要协作,所以我们也在讨论容器安全应该由安全团队来负责还是容器云平台团队来负责,在安全左移的趋势下,是否应该更多关注pre-runtime安全等等。安全问题无处不在,有很多的事项迫在眉睫。
 
  一、 容器安全的核心在哪?
  最近的测试让我一直在思考容器安全的核心到底应该在哪里。是镜像安全?还是容器运行时安全?还是主机安全?网络安全?虽然都在鼓吹安全左移,但我觉得容器运行时安全依然是核心,要能及时的检测到安全威胁并自动实现入侵拦截,网络微隔离或者网络阻断可能是最后的手段了。不过为了减少安全漏洞,降低安全威胁程度,前期的安全准备及安全措施也是至关重要,比如镜像安全扫描和补丁修复,平台和网络自身的安全能力等等,都是密切相关。任何环节有漏洞,都可能会带来严重的问题。
 
  二、 Pre-Runtime镜像扫描
  提供安全的基础镜像应该是容器云平台的基本职责之一。不过业务团队还需要加载业务应用及相应的工具库等到基础镜像,然后生成业务镜像。这就可能引入新的安全威胁。在镜像部署之前或者在镜像进入镜像仓库之前需要进行必要的安全扫描,以检测镜像文件可能存在的漏洞和问题,在部署之前修复镜像存在的漏洞。
 
  我们在建设容器云平台时,“以镜像仓库为媒介”,隔离开发和部署,我们不向终端用户提供Docker和Kubernetes CLI命令,所有的操作通过平台UI完成。也就是说要部署镜像,需上传镜像到镜像仓库,上传镜像仓库里的镜像可以自动被安全扫描。如果存在高危漏洞,则可以通过设置的规则禁止部署。
 
  我们测试的容器安全厂商提供Jenkins插件来实现高危漏洞镜像阻断部署,用于CD持续部署流程。由于思路的不同,实现方式有差别。不过我个人觉得可以再安全左移一点,把部署阻断放在镜像仓库。高危漏洞的镜像禁止出镜像仓库或者甚至禁止进镜像仓库,在upload时实现镜像的安全扫描和高危阻断。
 
  三、 容器网络安全和微隔离
  容器网络是一种虚拟化网络SDN(软件定义网络),可以自成一体。容器网络安全隔离有几种实现方式:零信任网络微隔离、ServiceMesh、Kubernetes网络策略等。零信任网络就是通过软件定义网络来实现,所以如果要构建零信任体系,可以采用零信任网络微隔离技术。不过由于当前实际的网络环境,离零信任网络还是有不小的距离,虽然希望引入零信任网络微隔离能力,不过由于其要求有些高,难以落地而作罢。Kubernetes网络策略隔离是最简单的方式,各家厂商基本上也是采用这种方式,不过用网络策略配置规则是非常的繁琐,在容器量小的情况下还可以接受,大量时就非常复杂化。可能要分类、分域等,对于跨应用、跨域访问的请求,众多的规则很容易带来混乱。在容器网络安全提上日程的当前,ServiceMesh可能是一个比较好的选项。基于ServiceMesh实现流量链路拓扑,流量安全管控,访问控制和容器网络隔离等,配合网络安全引擎,从而实现容器网络的运行时安全和微隔离管控等。
 
  四、 容器安全回归容器平台
  不经过这次测试,对于容器安全厂商的本质差别其实是难以认知的。对于市面上的反馈,参加测试的两家半斤八两、功能大同小异,甚至厂商自身的人员也没说明白有什么实质差别。
 
  前面我们提到过,一家是从传统主机安全扩展到容器安全,一家是云原生安全。首先从其产品理念和产品架构来说,就有很大的区别。主机安全厂商的容器安全产品是一个附属组件,紧耦合于主机安全产品,至少目前是无法分离的,这就使其从容器云平台视角看起来显得笨重。不过从传统网络安全的视角来看则是完美的。云原生的容器安全产品架构则和容器云的轻量、敏捷很匹配,这是我比较喜欢的。关注点是不一样的。所以一千个人眼里有一个前哈姆雷特,也是正常的。
 
  不过容器安全最终还是要回归容器云平台的,容器安全运维核心在于容器云平台,而不是网络,这是有些区别的。特别如果不能很好的区分容器主机和非容器主机,会带来额外的维护工作量。容器云平台的容器安全我觉得可以看作是应用安全的一部分,虽然也涉及网络安全,但核心不在网络,所以容器安全回归容器云平台会更合适点。
 
  当然,容器安全离不开网络安全团队的支持,毕竟很多问题都需要专业的网络安全的协助和支持。
 
  容器安全的市场取决于容器平台的市场,所以最终容器安全的前景依赖于和容器云平台的应用前景。如果把容器安全能力直接融合于容器云平台,使容器安全能力融合成或至少集成容器平台或容器云平台的一部分,那就更完美了。

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0888zz.com/ All Rights Reserved. 应用网_丽江站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330468号