越来越多的企业开始采用容器化的云原生应用,从第一个容器化应用开发到管理数千个容器的过程中,安全需求也在不断变化。某制造企业在容器应用初级阶段,携手青藤云安全做好云原生安全建设。
背景及挑战
为了更好地适应业务的灵活变化和弹性扩容。该企业将容器化应用投入生产运行,但同时也带来了其自身的威胁向量。此时面临的一个核心问题是认知偏差,从开发人员到习惯使用传统工具的安全专家,几乎没有人完全了解容器中可能出现哪些潜在安全问题,也让客户面临前所未有的安全挑战。
漏洞管理难:在开发过程中,漏洞管理最重要的环节就是镜像扫描。有些扫描工具只能发现操作系统漏洞和某些特定语言才会有的漏洞,而有些却无法扫描每个镜像层或某些开源软件包。
合规管理效率低:团队人员通过手动进行配置管理,不但效率低而且极易出错,客户需要自动执行配置检查的工具改善安全状况并减少运营工作量。
缺少运行时安全:应用投入生产后,必须能够检测到应用中出现异常行为,这可能是发生安全事件的前兆。
解决方案
为了更好的解决容器安全问题,该制造业企业采用了青藤云安全提供的容器安全一站式解决方案,尽早在容器生命周期中引入安全,将安全嵌入到构建、部署和运行整个容器生命周期中,做到开发阶段—安全左移和运行阶段—自适应安全。
l 构建阶段
①安全镜像扫描
通过容器镜像扫描,检测是否包含常用漏洞和风险(CVE),减少最终容器镜像的攻击面。正确的镜像扫描包括以下几个级别:
-进行镜像扫描,检查根镜像和开源镜像库中是否有已知的第三方漏洞。
-对配置和部署脚本进行静态扫描,及早发现错误配置问题,并对已部署的镜像进行动态基础架构加固扫描。
②观察应用程序行为
在开发和集成时观察微服务架构,了解哪些是正常行为,这有助于威胁建模。在生产中,通过威胁模型检测异常行为,进行隔离。
l 分发阶段
①审核已知内容
容器安全系统需要在通过容器镜像仓库时验证容器镜像,一旦发现不合规情况,就要拦截和隔离相关镜像。
②审核风险评分
对每个检查点的每个容器镜像生成一个风险评分,实现容器生命周期的标准化,并对每个重要的检查点中设置最低安全阈值,如果没有达到最低水平,将对容器生命周期进行控制。
l 部署阶段
①自动部署
将容器安全方案与部署系统联系起来,实现统一的安全策略管理,对所编写的、支持自动化部署任务的代码进行扫描和验证,发现代码中存在的漏洞。
②安全基础架构
在主机上部署无漏洞的容器仍然会有安全风险,需要实施相关的加固最佳实践,例如,以 CIS 基准或公司加固策略为基准,查看与加固最佳实践存在的偏差。
③日志数据审计
通过完整、全面的日志数据审核跟踪,在发生安全风险时可以调查具体原因,并据此采取补救措施并实施新的安全策略。
l 运行阶段
①工作负载清点与可视化
全自动化、细粒度地对工作负载进行分析,并可视化工作负载之间的网络访问行为。
②微隔离
使用微隔离可对容器的网络访问进行控制,并进行事件应急,发生问题后,可以采用隔离方式阻止威胁进一步扩散。
③入侵检测和响应
提供多锚点的基于行为的检测能力,能精准检测容器特有的逃逸行为、基于K8S的攻击行为、容器内的挖矿、横向渗透等行为,同时进一步提供隔离容器、杀文件等方式进行处理。
④溯源分析
通过威胁狩猎主动发现未知威胁,犹如网络空间的“黑匣子”,记录各种日志数据,可用于各种网络安全事件分析,溯源整个攻击过程。
客户收益
某制造企业安全负责人:“起初我们调研了众多的解决方案,现在我特别庆幸当时选择了青藤蜂巢容器安全解决方案,经过实践运行,我们现在整个团队都非常认可它的能力。”
l 强大的镜像扫描能力
通过CI集成插件,实现DevOps镜像扫描能力,相较于传统扫描工具流程,过去需要用将近1小时的漏洞扫描缩减为6分钟,效率提升10倍,误报率明显降低,实现降本增效。
l 全面的容器运行风险检查
针对运行的容器,一方面对其中的应用进行检测,发现应用漏洞;另一方面通过无损检测的方式,发现应用中的弱口令的问题,如mysql、redis的弱口令。
l 灵活的合规基线能力
支持150+检查项,能够覆盖集群内全部的检查对象,基线采⽤任务检查⽅式,客户可灵活针对不同检查对象、不同业务系统设置灵活的检查任务,以适应复杂的企业环境。