众所周知,网络安全事件将严重影响组织的声誉和市场竞争力,甚至可能导致最终用户发起的诉讼和各种不必要的法律纠纷。IBM根据一份调查报告,全球各组织每次数据泄露的平均总成本约为392万美元。通常,由于以下遗漏,组织会降低整体安全趋势:
- 缺乏安全管理工具和实践技能和培训
- 缺乏风险可见性和漏洞发现机制
- 未能持续监控当前系统和服务的安全状态
而根据PaloAlto Networks最近的云安全调查报告显示,94%的组织使用一个或多个云平台,其中约45%的计算将发生在他们的容器或CaaS(容器即服务)。随着应用容器主导地位的逐渐上升,安全威胁也在增加。同时,该报告还列出了以下八大安全威胁:
- 由恶意软件引发的数据泄露
- 代码级漏洞的应用程序
- 系统身份验证组件的薄弱或损坏
- 应用配置错误
- 访问不正确或权限过高
- 内部威胁
- 泄露身份证据
- 端点不安全
针对上述威胁,我们将与您讨论一些关于容器安全的优秀实践。您可以通过遵循和实施来降低容器工作负载中的各种安全风险,然后保护应用程序。
1. 基于源代码的受信存储库的镜像
当我们创建容器镜像时,我们通常依赖于流行的、私有的或公共注册表的种子镜像。但请注意,在镜像制作的供应链中,有些人可能会渗透并植入恶意代码,为攻击者打开大门。例如,在2018年,一些黑客攻击了英国航空公司的软件供应链。他们会恶意的JavaScript代码插入英国航空公司Web在应用程序中。详见链接--https://www.wired.com/story/british-airways-hack-details/样,就在几年前,Docker在其Docker Hub上面还发现了一些安装了Cryptominers(加密货币挖掘软件)镜像。
因此,您需要在以下几个方面给予足够的重视:
- 在创建容器镜像时,请使用来自知名可信出版商的安全加固基本镜像源。
- 请选择经常更新的带有最新安全修复和补丁的镜像。
- 请使用签名和标记的镜像,并验证镜像的真实性,以阻止中间人的攻击。
2. 安装经验证的包
由于同样的原因,我们还需要确保安装在基本镜像上的软件包也来自验证和信任的来源。
3. 最小化镜像中的攻击面
我们常说应用的受攻击面与镜像中已安装的软件包和库的数量有关。通常,如果此类对象的数量较少,那么出现漏洞的机率也就越低。可见,我们应当在满足应用程序运行时的基本要求的前提下,尽可能地保持镜像的体积最小。理想状况下,我们最好在一个应用程序容器中,仅保留一个应用程序。同时,您可以从如下方面入手:
- 删除不必要的工具和软件,包括包管理器(如,yum和apt)、镜像中的网络工具、客户端和shell和netcat(可用于创建反向shell)等。
- 使用多阶段(multi-stage)的Dockerfile,并从生产环境的镜像中删除软件构建的所有组件。
- 为减少威胁,请不要将不必要的网络端口、套接字和不必要的服务暴露在容器中(如SSH守护程序等)。
- 与其选择操作系统完整的镜像,不如选择alpine专为容器优化的镜像、临时镜像或操作系统。
4.不要在镜像中保留信任凭证
所有信任凭证都应该远离镜像和Dockerfile。包括SSL证书、密码、令牌和API各种机密信息,包括密钥,应保存在外部,并通过容器安排发动机或外部密钥管理器安全挂载。Hashicorp Vault工具,由AWS Secrets Manager、Kubernetes Secrets、Docker Secrets Management、以及CyberArk云密钥管理服务可以改善您在这方面的安全状况。
5. 使用安全的私有或公共登记表
企业通常有自己的基本镜像,包括各种他们不想公开分发的专有软件库。为了确保镜像可以托管在安全和可信的注册表中,以防止未经授权的访问,请使用可信的根CA的TLS实施强身份验证,防止证书MITM(中间人)攻击。
6.不要使用特权或root用户,在容器中运行应用程序
这是容器工作负载中最常见的配置错误。请记住最低权限原则,创建应用程序的特殊用户,并使用它在容器中运行应用程序的相应过程。你可能会问为什么不能使用它root用户呢?原因是,除了通过它的额外元数据来识别它是否是容器的一部分外,在容器中运行的过程与在主机操作系统中运行的过程非常相似。一旦在容器中root用户有了UID和GID,然后它可以访问甚至修改宿主机上的文件。
假如你没有Dockerfile中定义任何USER如果是,容器将使用root用户运行。
7. 在CI/CD扫描镜像漏洞
为容器的建造和交付设计CI/CD请包含一种镜像扫描方法来识别这些原因CVE公布的知名漏洞。同时,请不要在未修复的情况下部署任何可用的镜像。常见的漏洞扫描工具包括:Clair、Synk、Anchore、AquaSec、Twistlock等。同时,AWS ECR和Quay.io等容器注册表还需要配备各种相应的扫描方案。
8. 启用AppArmor等待核安全配置文件
AppArmor是一个Linux可用于保护操作系统及其应用程序免受各种安全威胁的安全模块。Docker允许程序访问有限的资源,如网络访问、核心功能、文件权限等。该方法不仅减少了潜在的攻击,而且提供了良好的深度防御。
9. 安全集中远程日志记录
通常,容器将所有内容记录在标准输出中--STDOUT上面。显然,这些日志会因为中断而丢失。因此,我们需要安全地将日志集中在一个地方,以便未来的审计和按需证据收集。当然,我们需要确保这些日志系统的安全,以避免从日志中泄露敏感数据信息。
10. 部署运行时(Runtime)的安全监控
上述九项安全建议只是为了最大限度地减少安全威胁,并不能完全阻止攻击的发生。在这方面,我们仍然需要通过持续监控和记录应用程序的行为来及时检测和发现任何可疑或恶意的活动。同时,我们还可以实施分层防御,部署不同的审计和容器保护工具。
开源工具可用于安全控制
俗话说:工欲善其事,必先利其器。为了简化上述容器的安全加固,我为您列出了以下六种开源和商业工具,方便您按需使用:
- Docker-bench-security– 属于Docker官方工具。作为理由CIS Benchmark针对Docker可用于审计容器的各种工作负荷。
- Hadolint Linter for Dockerfile – 可以使用linter对Dockerfile静态代码分析。linter可与各种流行的代码编辑器和集成管集成。
- Clair – 是一种流行的应用容器静态漏洞扫描工具。它定期从各种漏洞数据库中获取元数据。类似的工具包括:Anchore、Synk、以及Trivy。
- OWASP Cheatsheet– 漏洞备忘录来自安全专家欢迎的开放社区--OWASP。
- OpenSCAP for Container– SCAP(Security Content Automation Protocol,安全内容自动化协议)是一个多用途的标准框架,可以支持合规活动和安全测量,如自动化配置、漏洞和补丁检查、技术控制等。NIST各项标准。
- Sysdig Falco– 随着黑客的不断进步和新漏洞的不断涌现,静态扫描工具似乎无能为力。我们需要能够继续进行行为监测和基于AI/ML高级引擎。作为实现运行安全的工具,Falco使用高效的eBPF拦截各种调用和流量,实时监控和取证。
另外,你也可以选择AquaSec、Twistlock、Sysdig、Synk、以及Qualys等待企业级安全工具和商业产品。
希望以上解决方案能真正为您抵御黑客攻击,帮助您及时发现当前系统的异常状态,并为您的容器负载提供合理的改进建议。
译者介绍
陈峻 (Julian Chen),51CTO社区编辑已经有十多年了IT项目实施经验,善于控制内外资源和风险,重点传播网络和信息安全知识和经验;继续以博客、主题和翻译的形式分享尖端技术和新知识;通常在线和线下进行信息安全培训和教学。
原文标题:Top 10 Ways To Secure Containers,作者:Anjul Sahu