摘要: 转载声明:本文源于csoonline 官网地址:https://www.csoonline.com/保护Docker和内容基础设施需要一系列的方法、特定的工具以及仔细检查你的应用程序。 Gartner将内容安全列为今年的十大关注点之一,因此,现在可能...
转载声明:本文源于csoonline
官网地址:https://www.csoonline.com/
保护Docker和内容基础设施需要一系列的方法、特定的工具以及仔细检查你的应用程序。
Gartner将内容安全列为今年的十大关注点之一,因此,现在可能需要更仔细地研究这个问题,并制定一个可靠的安全实现计划。虽然容器已经存在十年了,但是由于其轻量级和可重用的代码、灵活的特性和较低的开发成本,它们正变得越来越受欢迎。我将介绍建设这种环境所需的各种工具,内容自身所需的工具,以及用于监视/审计/遵从性目的的工具。当然,没有一种工具可以做所有的事情。
具体从以下几个基本步骤开始
1.查看云服务
第一步是熟悉云提供商提供的内置安全性。这些工具包括Azure安全中心、谷歌Kubernetes引擎、谷歌云安全指挥中心和Amazon Inspector。有些,比如Azure Security Center,是通用的安全工具,不是为容器设计的。
2.熟悉本地docker相关的安全特性
这包括使用策略防止资源滥用、设置访问控制组并确保在不需要根访问的地方删除根访问。
3.GitHub开源项目
在某些情况下,Bench Security(用于检查代码中的安全最佳实践)和其他linux原生工具(如seccomp)等项目可能是低成本的选项。稍后我将介绍其他开源工具。
这是一个需要我们去多多学习和理解的软件,但是你应该从中找出其中比较常见的特性,例如身份和身份证,对于客户和你打算构建的最终应用程序,以及如何控制这种访问都有帮助。此外,你还需要检查和审计日志文件,以及如何查看和筛选日志文件,以提供关于安全状态的可操作信息。最后,还有用于保护API密匙和SSL证书等机密的底层基础设施。毕竟,你是希望以加密格式存储这些文件。
让我们看看在数据安全环境下需要保护的内容有哪三方面吧。
① 保护所构建的环境
因为内容对开发人员非常有用,所以有必要在创建容器时将下一个应用程序转移到DevSecOps领域并添加安全性,而不是等到项目被编码为栓接体之后。这始终是保护应用程序安全的最佳实践。在选择合适的安全工具之前,有一些重要的问题需要如下解答:
你能够控制哪些流程保证应用程序的安全性? 一些工具可以在这方面提供帮助,特别是在编制方面。然而,许多编制工具关注内容管理,而不一定关注细节。这使得在公用事业和实际保护之间找到平衡有些困难。
对于应用程序和用户的访问控制,你需要限制多少? 在这里,很有必要了解这些控件是如何应用的以及它们的限制是什么。例如,了解清楚查看部分代码和容器具有哪些内核访问权限,以及是否需要这种级别的访问来完成它们的工作,这样做对其安全性是有利的。
应该使用运行时应用程序自我保护(RASP)技术吗? 答案是,应该。与专注于应用程序的常规面向rasp的工具一样,有些工具专门针对容器运行时应用程序保护,可以使用静态扫描,也可以使用开发环境进行持续集成。后一种形式很有帮助,因为容器代码在不断变化,当你必须修补或更新某些内容时,进行连续的代码审计可以节省大量时间。一个好的RASP容器工具应该能够标记异常行为,纠正潜在的威胁,并能够隔离特殊事件,以便进行进一步的分析。
② 保护存储容器的底层主机
运行一个精简版的Linux,就意味着其中运行的服务尽可能少,以减少潜在的攻击面。有些工具的设计目的是使主机本身更加坚固。
实现此目的的另一种方法是使用上面提到的Docker控件组,并隔离名称空间以反映安全性策略,并将容器彼此隔离以防止相互感染。有些商店使用来自云提供商的虚拟私有连接来实现这种隔离。这个过程的一部分是通过使用访问级别和其他机制隔离工作负载,并限制每台主机运行的容器的数量。由于这个原因,有些商店只在每台主机上运行一个容器。
③ 关于内容保护
这里我们来看一下图像的软件供应链。这些是容器构建块,因此一个基本特性是能够强制执行映像源完整性保护,这意味着如果你的员工(或通过你最初从其获得容器的开源项目)对映像进行了更改,然而,你知道更改了什么吗?
考虑到许多容器在internet上共享,这是一个有用的特性。与此相关的是能够扫描这些图像,以确保它们没有感染。你多久能做一次,并且你能扫描吗?能够从可信来源获取图像是有帮助的,但是每个人都会犯错误,并且可能在不经意间引入安全问题。
然而,对于某些商店,你可能实际上并不关心内容中存在哪些漏洞。这似乎令人惊讶,但有一点值得注意。只有在能够充分保护容器边界,或者因为实际的应用程序代码没有触及容器代码的这些部分时,这才会有效。
你对安全工具的信任程度可能决定你可以容忍多少漏洞。
关于典型的内容安全产品
在考虑了安全性需求的范围以后,让我们来看一些典型的保护内容安全的产品。选用最适合你的软件,或者换句话说,在你的预算范围内购买你想要的产品?
可以从Sysdig开始你的工具发现过程,他们有一系列优秀的教程(当然使用他们的软件作为模型),带领你了解一些常见的安全用例,例如为奇怪的行为审计运行时代码、执行法医分析和检查漏洞。该公司还提供其开源的RASP工具Falco和商业工具Monitor and Secure,后者用于图像扫描和漏洞监控。
主要的开源工具包括:
● 用于RASP的设备
● 用于漏洞分析和图像扫描的anchore
● 用于网络和HTTP层安全的cilium
●用于静态代码分析的Coreos Clair
●用于静态漏洞分析和监控的dagda
●提供免费的实时和自动化代码测试的saucelabs
主要的商业供应商包括:
● 用于管理容器标识和日志分析的alertlogic
●用于RASP、审计、图像扫描和容器id的aquasec
● 成立不久的漏洞检查公司利用其Nessus的安全专业知识,收购并整合到其容器图像扫描仪中
● 用于RASP和额外的机器学习保护的Twistlock
●Threatstack将漏洞监控工具作为其云安全平台的一部分
大多数供应商会提供试用服务,所以你可以在购买前尝试一下。许多evals都有注册页面,以此来跟踪线索。因为这些工具是根据API调用或其他使用指标收费的,所以它们中的大多数都有详细的定价模型,而不是在每个供应商的网站上发布。