容器是云原生應用界一項迅猛發展的技術。就像計算系統一樣，容器由軟件程序包組成，而這些軟件程序包含有所有必要的組件，比如用于從任何地方運行應用程序所需的二進制代碼、文件和庫。

容器是輕量級的，開發運維（DevOps）團隊使用它們來開發應用程序和部署服務。此外，組織還使用容器來部署和擴展DevOps基礎架構，比如持續集成/持續交付（CI/CD）工具。報告顯示，到2022年，組織可能在容器上運行24%的工作負載。

然而，盡管容器有諸多好處，但這并不意味著它們就是完全安全的。一項研究顯示，87%的組織在生產環境中部署了容器，而94%的組織至少遇到過一次安全事件。另一項研究發現，由于容器安全問題，45%的組織已推遲或放慢了應用程序部署工作。

所有這些問題可能導致組織放慢轉型步伐，蒙受財務上和聲譽上的損失。為了避免此類情況，組織需要了解云容器威脅，并學習如何將風險降至最低。

為什么云容器成為越來越大的威脅？

容器是當下的一股潮流，它在提高敏捷性和促進創新方面起到了關鍵作用，也是應用程序開發必不可少的。近年來，容器的采用率飆升，會繼續飆升，畢竟它徹底改變了組織部署IT基礎架構的方式。

Gartner 預測，到2023年，70%的組織將使用容器化應用程序。云原生計算基金會（CFNC）在一項調查中發現，96%的企業已經評估或積極使用Kubernetes。此外，Red Hat的《2022年企業開源狀況報告》發現，68%的IT領導者表示容器技術處于與人工智能和機器學習等其他重要技術相提并論的地位。

容器因顯著的優勢而得到采用，但也會帶來對組織產生不利影響的網絡安全威脅和挑戰。如果企業依賴容器技術，卻未能識別安全漏洞并實施緩解措施，其敏感的業務數據就岌岌可危，包括客戶數據。由于這些威脅大多數無法借助代理或VPN等端點安全工具得到緩解，形勢變得更為嚴峻。以下是云容器對組織構成威脅的幾個原因：

人為錯誤

黑客可以通過幾個途徑危及云端的容器技術。一項研究表明，90%的受訪者遇到過容器安全事件，67%的受訪者遇到過容器嚴重配置不當。事實上據Gartner聲稱，到2025年，超過89%的云泄密事件的根本原因是用戶配置不當和錯誤。

容器不是為存儲數據而構建的，但有時組織會犯將敏感數據存儲在容器鏡像內這個錯誤。由于存儲的數據可以公開訪問，這為威脅分子達到目的提供了很大的便利。比如說，發現托管鏡像的容器注冊中心含有可供公眾訪問的源代碼后，Vine的全部代碼都被泄露了。

利用薄弱環節

網絡犯罪分子可以在底層操作系統中找到薄弱環節，并利用該薄弱環節來訪問容器。比如說，黑客可以通過竊取安全性弱的憑據（登錄信息）闖入云環境，然后可以篡改應用程序配置，這可能導致供應鏈出現安全威脅。黑客還可以利用容器來訪問主服務器。在這兩種情況下，容器都會受到威脅，數據安全因此面臨風險。

鏡像漏洞

容器的另一個威脅與構建容器的鏡像有關。企業可以重用鏡像的組件，而不是從頭開始構建新容器。因此，容器鏡像在容器生態系統中發揮著至關重要的作用，但它帶來的風險也不容忽視。

有報告顯示，托管在Docker Hub存儲庫上的超過200萬個容器鏡像至少存在一個嚴重漏洞。惡意攻擊者通過鏡像搶注攻擊來攻擊公共注冊中心。在這種攻擊下，網絡犯罪分子上傳帶有真實合法鏡像名稱的惡意鏡像。

攻擊者可以用惡意軟件滲入創建容器的鏡像。在整個容器中傳播的惡意軟件會破壞文件，甚至導致數據被盜。

API服務器訪問

研究人員發現，380000余臺Kubernetes API服務器允許訪問公共互聯網。這使得管理云部署的開源容器編排引擎很容易成為網絡犯罪分子的目標。中招的API服務器使威脅分子能夠操縱各種Kubernetes組件之間的聯系，比如外部托管的惡意資源。

此外，攻擊者可以利用通信渠道在Pod之間傳播加密貨幣挖掘惡意軟件。這甚至會威脅到組織的可用應用程序和服務。

除此之外，由于容器通過網絡與其他容器和編排環境進行聯系，SQL注入和XSS攻擊之類的攻擊就司空見慣。

云容器防御最佳實踐

報告顯示，75%的容器存在高危或嚴重的可修補漏洞。隨著企業的應用程序和服務轉而采用容器技術，保護云容器的需求變得勢在必行。

以下是緩解云容器威脅的有效方法：

•  實施在容器生命周期的各個階段保護容器的安全控制。
•  由于容器由應用程序代碼、文件、庫和二進制文件組成，應建立官方容器注冊中心。
•  保護API服務器是重中之重。API服務器需要安全性強的身份驗證憑據，開發人員應通過結合多因素身份驗證（MFA）或其他工具來限制未授權訪問。
•  使用容器化的下一代防火墻來保護容器遠離惡意軟件等基于網絡的威脅。下一代防火墻可以防止惡意軟件進入容器并在容器內傳播，并阻止旨在泄露數據的惡意出站連接。
•  增加使用基于人工智能的自動化配置管理，以避免人為錯誤風險。
•  徹底掃描內部源代碼，以確保容器鏡像中不存在惡意軟件。然而，由于容器鏡像還包括從第三方導入的資源，因此光掃描還不夠。應使用容器掃描工具掃描整個鏡像，因為它可分析鏡像內容，并標記可疑或不安全的組件，而不是掃描源代碼。
• 部署訪問控制以確保沒有未授權用戶在訪問注冊中心中的鏡像。這樣一來，組織可以防止數據泄露，因為鏡像會泄露私密數據。
• 不斷進行安全測試，以防止最細小的錯誤配置。

如果組織確保能夠滿足容器化應用程序的漏洞管理、運行時保護、合規和網絡安全等要求，它們無異于有了成功的策略來防范云容器威脅。

結語

由于容器技術日益在云端得到采用，加上容器有眾多好處，組織可能忍不住忽略潛在的安全威脅。人為錯誤、鏡像漏洞和中招的API服務器，這是導致云容器威脅增加的三大原因。這些問題常常導致惡意軟件攻擊、數據盜竊和泄漏。采用適當的容器安全措施有助于降低風險，比如使用容器安全工具、維護API安全、部署防火墻以及持續監控和測試。

本文翻譯自：https://cybersecurity.att.com/blogs/security-essentials/are-cloud-containers-a-sugar-coated-threat如若轉載，請注明原文地址。