Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Education Center
    2. DevOps

Hur säkrar man en container?

Postat avManimit Haldar 07 minuter
Containersäkerhet
Innehållsförteckning

En container är en standardiserad, fristående programvaruenhet som inkapslar kod med dess beroenden så att en applikation kan fungera snabbt och konsekvent i olika datormiljöer. Containers är en typ av virtualisering för operativsystem. Alla nödvändiga körbara filer, binär kod, bibliotek och konfigurationsfiler finns i en container.

En enda container kan hantera en liten mikrotjänst till en större applikation. Containers innehåller inte operativsystemavbildningar. Som ett resultat är de lättare och mer portabla, med mindre overhead. Containeravbildningar lagras i containrar. Dessa avbildningar är lager av filer snarare än faktiska avbildningar, där basavbildningen fungerar som utgångspunkt för att konstruera härledda avbildningar. Som ett resultat är basavbildningen den viktigaste att säkra.

Vad är containerhantering, och hur kan det hjälpa dig?

Containerhantering är en metod för att automatisera containerutveckling, distribution och skalbarhet. Containerhantering möjliggör storskalig tillägg, ersättning och klassificering av containrar. Detta åstadkoms vanligtvis genom att analysera och skydda alla avbildningar som ditt team laddar ner och bygger. För att tilldela rollbaserade tilldelningar, automatisera policyer, minska mänskliga fel och upptäcka sårbarheter används privata register och metadata.

Vikten av containersäkerhet

Containrar ger vissa inneboende säkerhetsfördelar, såsom förbättrad applikationsisolering, men de breddar också ett företags risklandskap. Organisationer kan möta ökade säkerhetsrisker om de inte förstår och planerar specifika säkerhetsprocedurer relaterade till containrar.

Containerdistribution i produktionsmiljöer har ökat avsevärt, vilket gör containrar till ett mer önskvärt mål för angripare. Dessutom kan en enskild sårbar eller utnyttjad container bli en ingång till ett företags infrastruktur.

Med den ökade trafiken över datacentret och molnet finns det få säkerhetskontroller på plats för att hålla reda på denna viktiga källa till nätverkstrafik. Eftersom konventionella nätverkssäkerhetslösningar inte skyddar mot laterala hot, betonar allt detta vikten av containersäkerhet.

Hur säkrar man en container?

Ocuco-landskapet Säkerhetsguide för applikationsbehållare, utfärdad av National Institute of Standards and Technology (NIST), beskriver olika viktiga tekniker för att säkra containrar. Följande är några viktiga punkter från NIST-rapporten:

  • För att minska attackytor, använd det containerspecifika värd-OS:et

    NIST rekommenderar att man använder containerspecifika värdoperativsystem. De är speciellt utformade för att köra containrar med begränsade funktioner som hjälper till att minimera attackytor.

  • Gruppera containrar baserat på syfte, känslighet och riskprofil

    Gruppering av containrar hjälper en organisation att göra det svårt för hackaren att komma åt en av grupperna för att utöka intrånget till andra.

  • Använd sårbarhetshantering och säkerhetslösningar vid körning

    När det gäller containrar har traditionella sårbarhetstestnings- och hanteringstekniker ofta blinda fläckar, vilket leder till felaktig rapportering om att allt är okej gällande containeravbildningar, konfigurationsinställningar och annat.

    Att upprätthålla runtime-säkerhet är en viktig aspekt av containerdistributioner och drift. Traditionella perimeterorienterade verktyg, som webbapplikationsbrandväggar (WAF:er) och intrångsskyddssystem (IPS), var inte uttryckligen utformade för containrar och kan inte försvara dem ordentligt.

Bästa praxis för Docker-containersäkerhet

Docker, en marknadsledare inom containerisering, erbjuder en containerplattform för att utveckla, hantera och säkra applikationer. Kunder kan använda Docker för att driftsätta både traditionella applikationer och de senaste mikrotjänsterna från vilken plats som helst. Du måste se till att du har tillräckligt skydd, precis som du skulle ha med vilken annan containerplattform som helst.

Det finns några bästa praxis för Docker-säkerhet:

  • För att undvika skadlig programvara, använd endast bilder från trovärdiga källor.
  • Minska din attackyta genom att använda tunna, kortlivade behållare.
  • Begränsa SSH-åtkomst genom att aktivera felsökning utan inloggning.
  • Signera och verifiera Docker-avbildningar.
  • Inkludera inte känsliga data i Docker-avbildningar.
  • Upptäck, åtgärda och övervaka sårbarheter i öppen källkod.

Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

Bästa praxis för Kubernetes-containersäkerhet

Kubernetes är en portabel och skalbar plattform med öppen källkod för att hantera containerbaserade arbetsbelastningar och tjänster. Kubernetes erbjuder säkerhetsfunktioner, men du behöver en dedikerad säkerhetslösning för att skydda ditt kluster, eftersom attacker mot Kubernetes-kluster har ökat.

Det finns några bästa praxis för Kubernetes-säkerhet:

  • Se till att Kubernetes är uppdaterat

    Kubernetes är ett containerorkestreringssystem med över 2 000 bidragsgivare och uppdateras ofta. Sårbarheter identifieras och patchas allt oftare. Det är viktigt att hålla sig uppdaterad om Kubernetes-versioner, särskilt i takt med att tekniken utvecklas.

  • Begränsa SSH-åtkomst

    Begränsning av SSH Åtkomst till dina Kubernetes-noder är en annan enkel och viktig säkerhetspolicy som bör implementeras i ditt nya kluster. Du bör inte lämna port 22 öppen på någon nod, men du kan behöva felsöka problem. Du kan använda din molnleverantör för att ställa in dina noder så att de blockerar all åtkomst till port 22 förutom via ditt företags VPN.

  • Upprätta säkerhetsgränser med hjälp av namnrymder

    Isolera komponenter genom att skapa olika namnrymder. När olika arbetsbelastningar distribueras i separata namnrymder blir det mycket enklare att tillämpa säkerhetsregler.

  • Regelbunden revision och övervakning

    Se till att granskningsloggar är aktiverade och bör övervakas för onormala eller oönskade API-förfrågningar, särskilt för eventuella auktoriseringsfel. Auktoriseringsfel indikerar att en angripare försöker använda stulna autentiseringsuppgifter. Hanterade Kubernetes-leverantörer, som GKE, ger åtkomst till data via sin molnkonsol och kan tillåta dig att ställa in aviseringar för auktoriseringsfel.

Bästa praxis för AWS-containersäkerhet

AWS förstår vikten av containrar för att utvecklare ska kunna driftsätta applikationer snabbare och mer konsekvent. Därför erbjuder de en skalbar, högpresterande containerorkestrering, Amazon Elastic Container Service (ECS) och Amazon Kubernetes Service (EKS), som stöder Docker-containrar.

Det finns några bästa praxis för AWS-containersäkerhet:

  • Miljötester

    Utför miljötester med hjälp av verktyg som Prowler för att bekräfta att miljön fungerar som avsett innan driftsättningen tar itu med säkerhetshoten. AWS delade ansvarsmodell innebär att användare ska hålla miljön säker, övervaka containersäkerhet och reglera nätverksåtkomst.

  • Onödiga privilegier

    Att tillåta obegränsad åtkomst eller bevilja rättigheter till själva containrarna ökar risken för säkerhetsintrång. Ju mer standardåtkomst något har, desto större är risken att en container komprometteras. Det gör det också svårare att spåra ingångspunkten för ett intrång.

  • Fokusera på behållaren

    När det gäller att säkra ekosystemet, gör inte misstaget att enbart fokusera på containrarna. Värdarna som kör containerhanteringssystemet är också viktiga. Bedöm säkerheten för alla komponenter, skanna sårbarheter regelbundet, övervaka hot och håll systemet uppdaterat.

Bästa praxis för säkerhet i Microsoft Azure-containrar

Det finns några bästa praxis för Microsoft Azure containersäkerhet:

  • Privat register

    Avbildningar från databaser används för att skapa containrar. Dessa databaser kan vara en del av ett offentligt eller privat register. Docker Trusted Registry, som kan installeras lokalt eller i ett virtuellt privat moln, är ett exempel på ett privat register. Du kan också använda Azure Container Registration, som är en molnbaserad privat containerregistertjänst. Offentligt tillgängliga avbildningar kanske inte är säkrade eftersom avbildningar består av flera programvarulager, som vart och ett kan vara sårbart. Så du bör lagra och hämta avbildningar från ett privat register, till exempel Azure Container Registry eller Docker Trusted Registry, för att minska hotet om attacker.

  • Säkra autentiseringsuppgifter

    Containrar kan distribueras över flera Azure-regioner och kluster. Därför krävs autentiseringsuppgifter som lösenord eller tokens för inloggningar, eller så måste API-åtkomst hållas säker. Endast privilegierade användare bör ha åtkomst till dessa containrar under överföring eller i vila. Alla autentiseringsuppgifter bör inspekteras, och utvecklare bör använda nya verktyg för hemlighetshantering som är utformade för containerplattformar.

  • Övervaka och skanna containerbilder

    Använd lösningar för att analysera containeravbildningar som lagras i ett privat register för potentiella sårbarheter. Azure Container Registry integreras valfritt med Azure Security Center för att skanna alla Linux-avbildningar som skickas till ett register. Den integrerade Qualys-skannern i Azure Security Center upptäcker avbildningssårbarheter, klassificerar dem och ger vägledning om begränsning.

Utforska

Fler ämnen