關(guān)于容器安全企業(yè)應(yīng)該知道的事
作者:Larry Alton
容器是在新環(huán)境(例如測(cè)試環(huán)境)中運(yùn)行軟件的一種流行的解決方案。它“包含”整個(gè)運(yùn)行環(huán)境,其中包括應(yīng)用程序、所有依賴項(xiàng)、配置文件和庫(kù)。容器在許多方面都優(yōu)于虛擬化技術(shù),因?yàn)樗鼈兩婕暗慕M件更少,并且可以用更少的資源運(yùn)行。
容器是在新環(huán)境(例如測(cè)試環(huán)境)中運(yùn)行軟件的一種流行的解決方案。它“包含”整個(gè)運(yùn)行環(huán)境,其中包括應(yīng)用程序、所有依賴項(xiàng)、配置文件和庫(kù)。容器在許多方面都優(yōu)于虛擬化技術(shù),因?yàn)樗鼈兩婕暗慕M件更少,并且可以用更少的資源運(yùn)行。
但是,如果需要有效使用容器,則需要制定一個(gè)可靠的容器安全策略。
容器安全性解決的三方面問(wèn)題
容器安全性可以有效解決三個(gè)主要方面的問(wèn)題:
- 軟件級(jí)別的安全性。企業(yè)的容器將部署特定的軟件,該軟件將與其他軟件進(jìn)行通信,并且在某些情況下,企業(yè)的員工和客戶可以訪問(wèn)。甚至可能需要考慮核心基礎(chǔ)設(shè)施或中間件。無(wú)論如何,企業(yè)都需要在此級(jí)別上采取保護(hù)措施,進(jìn)行軟件組成分析(SCA)來(lái)掃描開(kāi)源組件,并在潛在的安全威脅使企業(yè)容易受到攻擊之前主動(dòng)預(yù)防這些威脅。
- 編排級(jí)別的安全性。接下來(lái)需要考慮一下編排系統(tǒng)。編排是指系統(tǒng)中支持軟件管理和擴(kuò)展的組件。這些就是Kubernetes之類的東西,Kubernetes是一個(gè)開(kāi)放源代碼的容器編排系統(tǒng),旨在幫助企業(yè)使應(yīng)用程序部署實(shí)現(xiàn)自動(dòng)化。這樣可以節(jié)省時(shí)間和費(fèi)用,但是需要牢記其他安全注意事項(xiàng)。
- 管道級(jí)別的安全性。企業(yè)的系統(tǒng)可能還包括旨在自動(dòng)部署核心工作負(fù)載軟件和編排的組件。例如,企業(yè)可能具有一個(gè)自定義的Python腳本,旨在使其容器高效運(yùn)行。同樣,企業(yè)需要在此處掃描所有組件的漏洞,并采取其他措施,例如完善身份驗(yàn)證流程。
容器的安全優(yōu)秀實(shí)踐
這些優(yōu)秀實(shí)踐可以使任何容器安全策略更加有效:
- 積極主動(dòng),而不是被動(dòng)反應(yīng)。首先,企業(yè)需要盡可能主動(dòng)采取措施。如果只是在遭受攻擊之后才開(kāi)始考慮容器安全性,那就已經(jīng)太晚了。企業(yè)的目標(biāo)是完全防止這些攻擊的發(fā)生,這意味著企業(yè)需要及早發(fā)現(xiàn)并糾正漏洞。
- 依靠專業(yè)人士的幫助。企業(yè)可以自己學(xué)習(xí)容器安全性的原則,但是通常可以更有效地獲得專業(yè)人員的幫助。有時(shí)這意味著與顧問(wèn)合作;而在其他時(shí)候,則意味著采用專門設(shè)計(jì)用于提高容器安全性的軟件或工具。
- 牢記開(kāi)源漏洞。開(kāi)源組件可以免費(fèi)使用,并且擁有完整的支持者社區(qū),但是它們也存在一些風(fēng)險(xiǎn)。如果企業(yè)的任何組件都是開(kāi)源的,則需要了解它,并在部署之前主動(dòng)掃描以檢查漏洞。
- 限制權(quán)限。更少的權(quán)限意味著企業(yè)將減少對(duì)付可能的攻擊向量。嘗試限制權(quán)限,以使容器更安全。
- 將安全性轉(zhuǎn)變?yōu)楣餐?zé)任。安全性將分配給特定的專家部門;設(shè)計(jì)和執(zhí)行新政策以確保組織安全是他們的責(zé)任。但是現(xiàn)在這些措施已經(jīng)不夠。有太多潛在的漏洞和攻擊向量需要考慮。更有效的做法是讓安全成為一項(xiàng)共同的責(zé)任;企業(yè)團(tuán)隊(duì)中的每個(gè)成員均應(yīng)接受有關(guān)安全事項(xiàng)的教育、培訓(xùn)和前瞻性思考。這樣,企業(yè)就不太可能錯(cuò)過(guò)潛在的安全問(wèn)題,并且將獲得更全面的安全保護(hù)。
- 強(qiáng)制進(jìn)行持續(xù)監(jiān)控和威脅檢測(cè)。盡管采取了積極的安全預(yù)防措施,但仍可能會(huì)出現(xiàn)一些威脅。如果發(fā)現(xiàn)異常活動(dòng),則可能有機(jī)會(huì)在受到進(jìn)一步破壞之前切斷攻擊。但是要做到這一點(diǎn),企業(yè)需要部署一個(gè)有效的監(jiān)控系統(tǒng),該系統(tǒng)能夠在威脅出現(xiàn)時(shí)對(duì)其進(jìn)行檢測(cè)。
- 學(xué)習(xí)和改進(jìn)。最后,需要了解容器安全性是一個(gè)快速發(fā)展的領(lǐng)域。如果企業(yè)想保持有效的保護(hù),則需要致力于不斷的學(xué)習(xí)和成長(zhǎng);可以繼續(xù)嘗試新方法,并學(xué)習(xí)新的優(yōu)秀實(shí)踐。
容器安全性是一個(gè)廣闊的領(lǐng)域,如果企業(yè)對(duì)此接觸不多則可能會(huì)很難理解,但是隨著容器的廣泛使用,完善其策略變得越來(lái)越重要。如果企業(yè)想要獲得成功,需要使用這些最佳實(shí)踐并繼續(xù)學(xué)習(xí)。
責(zé)任編輯:華軒
來(lái)源:
企業(yè)網(wǎng)D1Net
