對(duì)于容器而言,由于底層的基礎(chǔ)架構(gòu)非常復(fù)雜,稍有不慎,就可能會(huì)帶來(lái)嚴(yán)重的安全后果。因此,在享受容器帶來(lái)便捷性紅利之前,如何讓容器“不裸奔”,這成為了容器推廣普及一大障礙。
當(dāng)然,確保容器安全是一個(gè)持續(xù)的過(guò)程。像其他測(cè)試和質(zhì)量控制措施一樣,應(yīng)該將安全集成到開(kāi)發(fā)過(guò)程中來(lái),盡可能實(shí)現(xiàn)自動(dòng)化,減少手動(dòng)處理的工作量,同時(shí),安全還應(yīng)該擴(kuò)展到底層基礎(chǔ)架構(gòu)的運(yùn)行與維護(hù)當(dāng)中來(lái)。
青藤蜂巢,在對(duì)容器安全進(jìn)行深入研究之后,正式提出容器安全“五個(gè)保護(hù)”:
●保護(hù)容器主機(jī)的安全
●保護(hù)容器網(wǎng)絡(luò)流量安全
●保護(hù)容器中應(yīng)用的安全
●保護(hù)容器管理技術(shù)堆棧
●保護(hù)構(gòu)建管道的完整性
圖1:一站式容器安全解決方案
保護(hù)容器主機(jī)的安全
要保護(hù)主機(jī)安全,首先要保護(hù)主機(jī)操作系統(tǒng)。應(yīng)盡可能使用經(jīng)過(guò)優(yōu)化的分布式操作系統(tǒng)來(lái)運(yùn)行容器,例如Container Linux、RancherOS、Ubuntu Core、Google的Container-Optimized OS或RedHat Atomic等發(fā)行版本。這些發(fā)行版本都已經(jīng)刪除了可有可無(wú)的服務(wù),優(yōu)化了性能并減少了攻擊面。如果使用常規(guī)Linux發(fā)行版或Windows系統(tǒng),則通常需要禁用或刪除不必要的服務(wù)并加固操作系統(tǒng)。
然后添加主機(jī)安全產(chǎn)品,確保主機(jī)按預(yù)期狀況運(yùn)行,實(shí)時(shí)監(jiān)控主機(jī)風(fēng)險(xiǎn)狀況包括漏洞、不合規(guī)配置、弱密碼等等,還需要實(shí)時(shí)進(jìn)行入侵檢測(cè),在入侵行為尚未造成危害之前及時(shí)發(fā)現(xiàn)和響應(yīng)。
監(jiān)控容器網(wǎng)絡(luò)流量安全
容器投入生產(chǎn)后,需要與其他容器和資源進(jìn)行交互。進(jìn)入網(wǎng)絡(luò)的流量通常會(huì)受到其他安全控制措施的保護(hù)。部署在網(wǎng)絡(luò)邊界處的Web網(wǎng)關(guān)和IPS具有一定的過(guò)濾功能,可以防止發(fā)生直接攻擊或嘗試進(jìn)行水坑攻擊(先攻擊某項(xiàng)服務(wù),然后攻擊其訪問(wèn)者)。
關(guān)于容器流量的另一項(xiàng)安全挑戰(zhàn)是監(jiān)控和保護(hù)容器之間的流量。攻擊者在系統(tǒng)中找到一個(gè)立足點(diǎn)后,就會(huì)迅速進(jìn)行橫向行動(dòng),擴(kuò)大影響范圍。比如主機(jī)A的Apache向主機(jī)B的MongoDB請(qǐng)求數(shù)據(jù);同時(shí)也有可能是主機(jī)內(nèi)部容器之間的流量,比如主機(jī)A內(nèi)部的Apache服務(wù)器請(qǐng)求主機(jī)A內(nèi)部的MongoDB的流量。
為應(yīng)對(duì)這類威脅,目前有兩種入侵防御方案,一種是在網(wǎng)絡(luò)邊界處部署IPS設(shè)備,另一種是以軟件形式在物理主機(jī)上部署入侵防御軟件。但是部署在邊界處的IPS無(wú)法監(jiān)控主機(jī)內(nèi)部容器之間的流量,部署在主機(jī)內(nèi)部IPS軟件,也無(wú)法對(duì)跨主機(jī)的容器之間的流量進(jìn)行入侵防御。
針對(duì)容器東西向流量入侵防御,以docker為例,目前有一種方式是在物理主機(jī)內(nèi)部連接容器的網(wǎng)橋上設(shè)置Netfilter鉤子,利用鉤子截獲所有進(jìn)出容器的東西向流量。對(duì)截獲的東西向流量進(jìn)行清洗,判斷所述東西向流量中的報(bào)文是否屬于惡意流量。若屬于惡意流量,則阻止相關(guān)連接。
圖2:監(jiān)控容器流量
保護(hù)容器管理技術(shù)堆棧
在容器部署問(wèn)題,通常會(huì)使用兩個(gè)關(guān)鍵基礎(chǔ)設(shè)施,即私有容器鏡像倉(cāng)庫(kù)和容器編排工具Kubernetes。
容器鏡像倉(cāng)庫(kù)是用于搜索、存儲(chǔ)和分發(fā)容器的,簡(jiǎn)化了容器的共享工作,并幫助團(tuán)隊(duì)充分利用彼此的工作成果,提高了工作效率。為了確保每個(gè)容器都符合開(kāi)發(fā)和安全基準(zhǔn),需要對(duì)容器鏡像實(shí)時(shí)進(jìn)行漏洞掃描。在將容器鏡像推送到鏡像倉(cāng)庫(kù)中去之前,要先對(duì)容器鏡像進(jìn)行漏洞掃描,查看是否存在已知漏洞、惡意軟件以及明文秘鑰,這樣有助于減少下游的安全問(wèn)題。此外,還需要確保鏡像倉(cāng)庫(kù)本身也采取了良好的保護(hù)措施。鏡像倉(cāng)庫(kù)應(yīng)該運(yùn)行在加固系統(tǒng)或信譽(yù)良好的云服務(wù)之上。
Kubernetes是一款復(fù)雜的容器編排工具,讓企業(yè)實(shí)現(xiàn)了應(yīng)用的自動(dòng)化部署,給企業(yè)帶來(lái)了巨大的業(yè)務(wù)收益。從安全角度來(lái)看,Kubernetes還提供了實(shí)現(xiàn)許多運(yùn)營(yíng)和安全控制的功能。實(shí)施Pod(集群級(jí)別的資源)和網(wǎng)絡(luò)安全策略后,可以采用不同方案來(lái)滿足風(fēng)險(xiǎn)承受能力。
保護(hù)容器中的應(yīng)用安全
在構(gòu)建一款應(yīng)用時(shí),開(kāi)發(fā)人員很少會(huì)從頭開(kāi)始。通常的做法是從一個(gè)現(xiàn)有容器著手,例如像Ubuntu或CentOS這樣的低層容器,或者像node或nginx這樣的更高層容器,或者是組織機(jī)構(gòu)自定義的容器。不管選擇在哪個(gè)容器上構(gòu)建數(shù)據(jù),關(guān)鍵是要確保構(gòu)建應(yīng)用的底層容器基礎(chǔ)是安全的,不會(huì)給數(shù)據(jù)造成風(fēng)險(xiǎn)。
從首選鏡像倉(cāng)庫(kù)中拉取鏡像部署容器時(shí),也是如此。需要有一個(gè)相應(yīng)的工作流程,確保使用的容器安全可靠,可抵御常見(jiàn)威脅。為此,需要進(jìn)行容器鏡像掃描,掃描容器的內(nèi)容,查看是否存在任何問(wèn)題,然后再用于構(gòu)建應(yīng)用。在投入生產(chǎn)之前,還要進(jìn)行最后的安全檢查。
進(jìn)行鏡像掃描主要是為了查找惡意軟件、已知漏洞以及任何秘鑰或機(jī)密信息(例如應(yīng)用程序編程接口(API)密鑰和令牌),以便在繼續(xù)開(kāi)發(fā)應(yīng)用之前降低風(fēng)險(xiǎn)。這一步可確保在安全容器基礎(chǔ)之上構(gòu)建應(yīng)用。
鏡像掃描功能不僅限于確定使用的容器基礎(chǔ)是安全可靠的,還應(yīng)該成為編碼流程不可或缺的一部分。這是一個(gè)完全自動(dòng)化的過(guò)程,可以快速輕松地識(shí)別開(kāi)發(fā)應(yīng)用和容器時(shí)遇到的任何問(wèn)題。在開(kāi)發(fā)過(guò)程的早期階段捕獲漏洞、惡意軟件或明文秘鑰之類的問(wèn)題,更易于解決并節(jié)省您的時(shí)間。
雖然一旦將應(yīng)用構(gòu)建到容器中并部署到生產(chǎn)環(huán)境中,就不會(huì)再發(fā)生變化。但是,容器投入生產(chǎn)運(yùn)行后,是會(huì)實(shí)時(shí)發(fā)生變化的。容器會(huì)產(chǎn)生應(yīng)用數(shù)據(jù),生成日志文件、緩存文件等等。
安全監(jiān)控軟件,包括有助于確保在容器中開(kāi)展的活動(dòng)中是否存在一些風(fēng)險(xiǎn)。例如,如果存在漏洞,則安全引擎可以檢測(cè)是否有人在嘗試進(jìn)行漏洞利用,并通過(guò)丟棄數(shù)據(jù)包來(lái)保護(hù)應(yīng)用。
確保構(gòu)建管道的完整性
除了容器環(huán)境之外,容器構(gòu)建管道也日益成為攻擊者的目標(biāo)。攻擊者已開(kāi)始將攻擊轉(zhuǎn)移到持續(xù)集成/持續(xù)交付的早期階段(CI/CD)管道。如果攻擊者攻陷了容器構(gòu)建服務(wù)器、代碼存儲(chǔ)庫(kù)或開(kāi)發(fā)人員工作站,那么攻擊者就可以在組織機(jī)構(gòu)的環(huán)境中駐留很長(zhǎng)時(shí)間。因?yàn)榇蠖鄶?shù)安全程序不會(huì)主動(dòng)監(jiān)控這些關(guān)鍵資源。
對(duì)此,第一步是確保這些系統(tǒng)具有強(qiáng)大的安全控制措施,并進(jìn)行隨時(shí)更新。組織機(jī)構(gòu)的代碼通常是其最具價(jià)值的資產(chǎn)之一,因此,需要保護(hù)代碼的安全。
第二步是在整個(gè)管道中實(shí)施強(qiáng)大的訪問(wèn)控制策略。這可以從代碼存儲(chǔ)庫(kù)和分支策略著手,一直擴(kuò)展到容器存儲(chǔ)庫(kù)。這需要確保實(shí)施最小特權(quán)原則(僅提供完成任務(wù)所需的訪問(wèn)權(quán)限)并定期審核該訪問(wèn)情況。
總結(jié)
對(duì)于容器安全而言,從來(lái)都沒(méi)有一個(gè)解決方案可以作為萬(wàn)能良藥。盡管容器本身很簡(jiǎn)單,但容器底層的基礎(chǔ)架構(gòu)會(huì)越來(lái)越復(fù)雜。這就需要像關(guān)鍵資產(chǎn)一樣,了解、監(jiān)控和保護(hù)基礎(chǔ)架構(gòu)。毫無(wú)疑問(wèn),各大企業(yè)可以從容器技術(shù)中受益,但與任何新技術(shù)一樣,必須制定強(qiáng)有力的“由外而內(nèi)”安全計(jì)劃,自動(dòng)化實(shí)現(xiàn)容器以及容器構(gòu)建管道的安全。
