眾所周知，網(wǎng)絡(luò)安全事件會(huì)對(duì)一個(gè)組織的聲譽(yù)、以及市場(chǎng)競(jìng)爭(zhēng)力造成嚴(yán)重的影響，甚至可能導(dǎo)致由最終用戶發(fā)起的訴訟、以及各種不必要的法律糾紛。根據(jù)IBM的一份??調(diào)查報(bào)告??，全球范圍內(nèi)的各個(gè)組織平均每次由數(shù)據(jù)泄露所帶來的總體成本約為392萬美元。通常，一個(gè)組織會(huì)因?yàn)槿缦路矫娴氖杪驼w的安全態(tài)勢(shì)：

• 缺乏安全管理工具和實(shí)踐的技能和培訓(xùn)
• 缺乏風(fēng)險(xiǎn)的可見性和漏洞的發(fā)現(xiàn)機(jī)制
• 未能持續(xù)監(jiān)控當(dāng)前系統(tǒng)與服務(wù)的安全狀態(tài)

而根據(jù)PaloAlto Networks最近的一份《??云安全狀況調(diào)查報(bào)告??》表明，有94%的組織正在使用著一個(gè)或多個(gè)云平臺(tái)，并且其中有大約45%的計(jì)算會(huì)發(fā)生在他們?nèi)萜骰駽aaS(容器即服務(wù))上。隨著應(yīng)用容器的主導(dǎo)地位的逐步攀升，由此引發(fā)的安全威脅也在不斷增加。同時(shí)，該報(bào)告也羅列出了如下八大主要安全威脅：

• 由惡意軟件引發(fā)的數(shù)據(jù)泄露
• 應(yīng)用程序的代碼級(jí)漏洞
• 系統(tǒng)身份驗(yàn)證組件的薄弱或被破壞
• 應(yīng)用的配置錯(cuò)誤
• 不正確的訪問或權(quán)限過高
• 源自內(nèi)部的威脅
• 身份認(rèn)證憑據(jù)的泄漏
• 不安全的端點(diǎn)

針對(duì)上述威脅，我們將在下面和您討論一些有關(guān)容器安全性的優(yōu)秀實(shí)踐。您可以通過遵循并實(shí)施，來降低容器化工作負(fù)載中的各種安全風(fēng)險(xiǎn)，進(jìn)而實(shí)現(xiàn)對(duì)于應(yīng)用程序的保護(hù)。

1. 來自受信存儲(chǔ)庫的基于源代碼的鏡像

當(dāng)我們創(chuàng)建容器鏡像時(shí)，通常會(huì)依賴那些來自流行的、私有的或公共注冊(cè)表的種子鏡像。不過請(qǐng)注意，在鏡像制作的供應(yīng)鏈中，有人可能會(huì)滲透進(jìn)去，并植入能夠?yàn)楣粽叽蜷_“大門”的惡意代碼。例如，在2018年，一些黑客曾攻擊了英國(guó)航空公司的軟件供應(yīng)鏈。他們將惡意的JavaScript代碼插入英國(guó)航空公司的Web應(yīng)用程序之中。具體請(qǐng)參見鏈接--https://www.wired.com/story/british-airways-hack-details/。同樣，就在幾年前，Docker在其Docker Hub上也發(fā)現(xiàn)了一些被安裝了Cryptominers(加密貨幣挖礦軟件)的??鏡像??。

因此，您需要在如下方面引起足夠的重視：

• 在創(chuàng)建容器鏡像時(shí)，請(qǐng)使用來自知名可信發(fā)布者的、經(jīng)過安全加固的基礎(chǔ)性鏡像源。
• 請(qǐng)選擇那些經(jīng)常被更新的、帶有最新安全修復(fù)和補(bǔ)丁的鏡像。
• 請(qǐng)使用那些經(jīng)過簽名和標(biāo)記的鏡像，并在拉取的過程中驗(yàn)證鏡像的真實(shí)性，以阻斷中間人攻擊。

2. 安裝經(jīng)過驗(yàn)證的包

出于同樣的原因，我們也需要保障被安裝在基礎(chǔ)鏡像上的軟件包，也源自經(jīng)過驗(yàn)證和受信任的來源。

3. 最小化鏡像中的攻擊面

我們常說應(yīng)用的受攻擊面與鏡像中已安裝的軟件包和庫的數(shù)量有關(guān)。通常，如果此類對(duì)象的數(shù)量較少，那么出現(xiàn)漏洞的機(jī)率也就越低。可見，我們應(yīng)當(dāng)在滿足應(yīng)用程序運(yùn)行時(shí)的基本要求的前提下，盡可能地保持鏡像的體積最小。理想狀況下，我們最好在一個(gè)應(yīng)用程序容器中，僅保留一個(gè)應(yīng)用程序。同時(shí)，您可以從如下方面入手：

• 刪除不必要的工具和軟件，包括：包管理器(如，yum和apt)、網(wǎng)絡(luò)工具、客戶端、以及鏡像中的shell和netcat(可用于創(chuàng)建反向的shell)等。
• 使用多階段(multi-stage)的Dockerfile，并從生產(chǎn)環(huán)境的鏡像中刪除各個(gè)用于軟件構(gòu)建的組件。
• 為了減少威脅，請(qǐng)不要在容器中暴露不必要的網(wǎng)絡(luò)端口、套接字、以及運(yùn)行不需要的服務(wù)(如SSH的守護(hù)程序等)。
• 與其選用帶有完整操作系統(tǒng)的鏡像，不如選擇alpine鏡像、臨時(shí)鏡像或?qū)槿萜鲀?yōu)化了的操作系統(tǒng)。

4.不要在鏡像中留存信任憑據(jù)

所有的信任憑據(jù)都應(yīng)該“遠(yuǎn)離”鏡像和Dockerfile。包括SSL證書、密碼、令牌、以及API密鑰在內(nèi)的各種機(jī)密信息，都應(yīng)當(dāng)被保存在外部，并通過容器編排引擎、或外部密鑰管理器，進(jìn)行安全地掛載。目前，Hashicorp Vault工具，由AWS Secrets Manager、Kubernetes Secrets、Docker Secrets Management、以及CyberArk等提供的云端密鑰管理服務(wù)，都可以改善您在此方面的安全態(tài)勢(shì)。

5. 使用安全的私有或公共注冊(cè)表

企業(yè)通常擁有自己的基礎(chǔ)鏡像，其中包含了各種他們不想公開分發(fā)的專有軟件庫。為了確保鏡像能夠被托管在安全且受信的注冊(cè)表處，以防止未經(jīng)授權(quán)的訪問，請(qǐng)使用具有可信根CA的TLS證書，并實(shí)施強(qiáng)身份驗(yàn)證，以防范MITM(中間人)攻擊。

6.不要使用特權(quán)或root用戶，在容器中運(yùn)行應(yīng)用程序

這是容器化工作負(fù)載中最常見的配置錯(cuò)誤。請(qǐng)牢記最低權(quán)限原則，創(chuàng)建一個(gè)應(yīng)用程序的專用用戶，并使用它在容器內(nèi)運(yùn)行應(yīng)用程序的對(duì)應(yīng)進(jìn)程。您也許會(huì)問為何不能用root用戶呢?其原因是：除了通過其帶有的額外元數(shù)據(jù)，來識(shí)別是否為容器的一部分，在容器中運(yùn)行的進(jìn)程，與在主機(jī)操作系統(tǒng)上運(yùn)行的進(jìn)程十分相似。而一旦容器中的root用戶有了UID和GID，那么它可以訪問、甚至修改其在宿主機(jī)上的文件。

注意，如果您沒有在Dockerfile中定義任何USER的話，那么容器就會(huì)以root用戶運(yùn)行。

7. 在CI/CD中實(shí)施鏡像漏洞掃描

在為容器的構(gòu)建和交付設(shè)計(jì)CI/CD時(shí)，請(qǐng)包含一個(gè)鏡像掃描方法，以識(shí)別那些由CVE公布到的知名漏洞。同時(shí)，請(qǐng)不要在沒有修復(fù)的情況下，部署任何可用的鏡像。常見的漏洞掃描工具包括：Clair、Synk、Anchore、AquaSec、Twistlock等。同時(shí)，AWS ECR和Quay.io等容器注冊(cè)表也需要配備各種相應(yīng)的掃描方案。

8. 啟用AppArmor等內(nèi)核安全配置文件

AppArmor是一個(gè)Linux安全模塊，可被用于保護(hù)操作系統(tǒng)、及其應(yīng)用程序免受各種安全威脅。Docker通過提供默認(rèn)配置文件的方式，允許程序訪問諸如：網(wǎng)絡(luò)訪問、內(nèi)核功能、文件權(quán)限等有限的資源。該方法不但減少了潛在的攻擊面，而且提供了很好的深度防御。

9. 安全集中式的遠(yuǎn)程日志記錄

通常，容器將所有內(nèi)容記錄到標(biāo)準(zhǔn)輸出--STDOUT上。顯然，這些日志會(huì)因?yàn)橹袛喽鴣G失。因此，我們需要將日志安全地、以傳輸流的方式集中到一處，以供未來的審計(jì)和按需取證。當(dāng)然，我們需要確保此類日志系統(tǒng)的安全性，以免敏感數(shù)據(jù)信息從日志中泄漏出去。

10. 部署運(yùn)行時(shí)(Runtime)的安全監(jiān)控

前面給出的九項(xiàng)安全建議，只是最大限度地減少了安全威脅，并不能完全阻止攻擊的發(fā)生。對(duì)此，我們?nèi)匀恍枰ㄟ^持續(xù)監(jiān)控和記錄應(yīng)用程序的行為，來及時(shí)檢測(cè)并發(fā)現(xiàn)任何可疑或惡意的活動(dòng)。同時(shí)，我們還可以實(shí)施分層防御，對(duì)不同的監(jiān)控范圍，部署不同的審計(jì)與容器保護(hù)工具。

可用于安全控制的開源工具

常言道：“工欲善其事，必先利其器”。為了簡(jiǎn)化上述針對(duì)容器的安全加固，我在此為您羅列了如下六大開源和商業(yè)工具，以方便您按需采用：

• ??Docker-bench-security??– 屬于Docker的官方工具。作為由??CIS Benchmark??針對(duì)Docker提出的行業(yè)標(biāo)準(zhǔn)，它可以被用于審計(jì)容器的各種工作負(fù)載。
• ??Hadolint Linter for Dockerfile?? – 可以使用linter對(duì)Dockerfile進(jìn)行靜態(tài)代碼分析。作為一種優(yōu)秀實(shí)踐，linter可與各種流行的代碼編輯器和集成管道相整合。
• ??Clair?? – 是一種流行的應(yīng)用容器靜態(tài)漏洞掃描工具。它會(huì)定期從各種漏洞數(shù)據(jù)庫中獲取元數(shù)據(jù)。其同類工具包括：??Anchore??、??Synk??、以及??Trivy??。
• ??OWASP Cheatsheet??– 該漏洞備忘錄來自備受安全專家歡迎的開放社區(qū)--OWASP。
• ??OpenSCAP for Container??– SCAP(Security Content Automation Protocol，安全內(nèi)容自動(dòng)化協(xié)議)是一個(gè)多用途的規(guī)范框架，可以支持自動(dòng)化配置、漏洞和補(bǔ)丁檢查、技術(shù)控制的合規(guī)活動(dòng)與安全測(cè)量等。它執(zhí)行的是NIST各項(xiàng)標(biāo)準(zhǔn)。
• ??Sysdig Falco???– 隨著黑客的持續(xù)進(jìn)步和新漏洞的不斷涌現(xiàn)，靜態(tài)掃描工具已顯得力不從心。我們需要能夠持續(xù)進(jìn)行行為監(jiān)控、以及基于AI/ML的高級(jí)引擎。而作為一種可用于實(shí)現(xiàn)運(yùn)行時(shí)安全性的工具，F(xiàn)alco使用高效的eBPF去攔截各種調(diào)用與流量，并能實(shí)時(shí)進(jìn)行監(jiān)控和取證。
  

此外，您還可以選用AquaSec、Twistlock、Sysdig、Synk、以及Qualys等企業(yè)級(jí)安全工具和商業(yè)產(chǎn)品。

希望上述各種解決方案能夠真正為您抵御黑客攻擊，協(xié)助您及時(shí)發(fā)現(xiàn)當(dāng)前系統(tǒng)中的異常狀態(tài)，以及為您的容器負(fù)載提供合理化的改進(jìn)建議。

譯者介紹

陳峻 (Julian Chen)，51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn);持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知;經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。

原文標(biāo)題：Top 10 Ways To Secure Containers，作者：Anjul Sahu