SUSE:如何抵御勒索軟件攻擊——容器安全
本文是《如何抵御勒索軟件攻擊》系列文章,如需閱讀本系列的其他文章,請訪問:??
如何讓 Kubernetes 環境免受勒索軟件攻擊??
隨著容器使用率的增長,容器化軟件逐漸成為了勒索軟件攻擊的目標,而 Kubernetes 環境本身的動態特性也帶來了獨特的挑戰。勒索軟件的傳播速度可能非常快,可能會感染鏡像倉庫或軟件供應鏈的其他部分,導致 Kubernetes 集群中的所有 Pod 遭到破壞。攻擊者還可能控制 Kubernetes 集群,使攻擊難以停止。?
正如本系列的第一篇文章所述,攻擊可能通過應用程序漏洞、Kubernetes 集群被盜的憑證、軟件供應鏈中植入的惡意軟件等發生。要讓 Kubernetes 環境免受攻擊,采取預防措施非常重要。某些攻擊只能通過使用特定的安全軟件和預定義流程解決。?
要防止通過應用程序漏洞進行的攻擊,我們可以使用一些策略:?
- 讓軟件保持更新,使用已修復錯誤的最新版本。要確保沒有在集群上部署易受攻擊的軟件,你可以使用 SUSE NeuVector 來實現準入控制規則,它擴展了 Kubernetes 的功能,允許你定義規則(例如,防止將有漏洞或來自不受信任的鏡像倉庫的鏡像部署到集群中)。?
- 在攻擊抵達應用程序之前,在網絡級別主動阻止已知攻擊。NueVector 特別適合執行此任務,因為它不僅關注其他安全解決方案關注的第 3 和第 4 網絡層協議,也關注包含應用程序協議的第 7 網絡層。換言之,它可以使用深度包檢測 (DPI) 技術識別通過應用程序層攜帶的攻擊,并且在惡意網絡數據包抵達應用程序之前阻止它們。?
- 限制應用程序權限。你可以通過 Kubernetes 安全機制(例如 Seccomp、AppArmor 和 SELinux)進一步防止勒索軟件攻擊。正如本系列前文所述,SELinux 和 AppArmor 可以有效防止應用程序訪問某些文件或運行某些進程。它們只在啟用了這些功能的 Linux 發行版上運行的 Kubernetes 節點中可用,例如 SLES和 SLEmicro。?
為什么使用零信任策略來阻止惡意軟件的傳播??
這些措施可能都無法達到要求,尤其是攻擊者使用零日攻擊來獲取訪問權限的情況。?
要防止零日攻擊,我們需要實施基于行為的零信任策略,該策略可以觀察并阻止在網絡或系統層上試圖偏離預期的應用程序行為。換言之,即使攻擊者獲得了應用程序的控制權,也無法訪問集群中的其他應用程序。通常情況下,大多數后端應用程序不會公開,安全保護比較弱,有些應用程序還具有比較高的系統權限。因此,如果能控制這些應用程序的網絡或數據訪問,攻擊者就有機會進一步進行傳播。?
在這種情況下,我們可以使用 SUSE NeuVector 的零信任安全策略,因為我們不僅僅要查看已知的攻擊,還需要查看應用程序的行為。為此,我們需要定義一個安全策略,聽起來可能很復雜,但是我們可以借助 NeuVector 行為學習功能,輕松為每個正在運行的應用程序創建策略。?
我們不僅可以使用 SUSE NeuVector 來實施系統和網絡級別的零信任策略,還可以查看每個 Pod 通過 DPI 技術建立的連接,可視化和檢測 Kubernetes 環境中的可疑活動。?
在云原生環境中擁有安全軟件供應鏈的重要性?
軟件供應鏈是云原生環境的重要組成部分。這是一個端到端的過程,可以確保云原生環境中使用的所有應用程序和組件都是安全的,從運行 Kubernetes 的硬件和操作系統,到最終應用程序上使用的所有庫。?
為了確保安全,我們需要驗證軟件的真實性,例如使用受監管的第三方簽名,定期修補漏洞,使用安全交付方法,以及控制修改代碼的人員和時間,確保所有更改都要經過了審核。?
這就是 SLSA4 和 Common Criteria EAL4+ 等認證體現價值的地方,它們確保了用于產品開發和維護的 SUSE 流程通過了這些認證的嚴格安全要求。?
但是,我們不能總是使用經過認證的軟件。因此,我們需要使用 SUSE NeuVector 等安全平臺或 Rancher 等 Kubernetes 集群管理平臺來掃描鏡像倉庫中的鏡像漏洞、驗證是否符合安全要求、在基礎設施上運行安全 Benchmark 等。更重要的是,這些檢查可以重復執行,而且是自動化的,不是一次性的。?
為什么必須在 Kubernetes 環境中實現安全自動化??
對于確保安全、合規和持續更新的環境,以及通過補丁和配置供應鏈中的軟件資源來減少攻擊面來說,Kubernetes 環境中的安全自動化至關重要。?
由于云原生環境中的安全性不是靜態的,因此每天都會出現新的漏洞和補丁,攻擊者會自動進行攻擊,快速發現并攻擊受害者。?
自動化還帶來了其他好處,例如避免手動錯誤,以及確保在整個環境中始終執行安全策略。?
此外,它還可以大幅度縮短將受攻擊系統恢復到原始狀態所需的時間。但是需要特別注意的是,在恢復系統之前必須先打補丁。為此,我們還需要簡化和自動化更新過程。?
為了實現和簡化該操作,SUSE NeuVector 等安全平臺和 Rancher 等 Kubernetes 管理工具在設計時就考慮到了自動化。借助 Rancher,我們可以使用 Fleet 或其他外部 CI/CD 系統跨集群自動部署和升級工作負載,簡化 Infrastructure-as-Code 的使用。?
借助 SUSE NeuVector API 和 CRD,你可以像加載 Kubernetes 中的其他資源一樣加載安全策略,讓使用現有 CI/CD 平臺實現 Security-as-Code 變得簡單。?
擁有多個集群時,如何擴展這些措施??
我們需要使用小而可靠的軟件,因為高資源消耗將影響應用程序性能,導致其無法滿足不斷增長的需求,這也是生產就緒軟件需要關注的重點之一。?
我們可以使用 Rancher 的安全功能來確保所有 Kubernetes 集群都得到正確的配置和保護。Rancher 可以幫助我們控制訪問、實施安全策略和掃描漏洞。?
有了 SUSE NeuVector,我們還可以通過將聯合規則推送到各個集群,并將鏡像倉庫掃描結果同步到多個集群,來管理多集群和多云部署的安全性。?
即使有多個集群,我們也可以使用該方法擴展安全措施,NeuVector 架構可以輕松地隨應用程序工作負載擴展保護。?
總結?
我們可以看到,擁有安全的軟件供應鏈并在系統和網絡層實施基于行為的零信任安全策略可以幫助用戶抵御惡意攻擊,例如勒索軟件和零日攻擊。?
SUSE NeuVector 作為業界首個端到端的開源容器安全平臺,能夠為容器化工作負載提供企業級零信任安全。?
關于?
SUSE 是全球范圍內創新且可靠的企業級開源解決方案領導者,財富 500 強中有 60% 以上的企業依靠 SUSE 為其關鍵任務的工作負載賦能。SUSE 專注于企業級 Linux、企業容器管理和邊緣解決方案,通過與合作伙伴和社區合作,幫助客戶隨時隨地在任意場景進行創新——無論是在數據中心、云端還是邊緣環境。?
SUSE 讓“開源”重新“開放”,使客戶能夠靈活地應對當今的創新挑戰,并能夠自由地在未來發展其 IT 戰略和解決方案。SUSE 在全球擁有2000 余名員工,2021 年在法蘭克福證券交易所的監管市場(Prime Standard)上市。?
