云原生应用保护平台(CNAPP)建设指南(2024)
云原生安全
研究报告
发布日期:2024-12-25
随着云服务的快速发展,容器的使用日益普及,容器安全问题日益凸显。为了规范和指导容器的安全使用,很多安全组织机构都已开始着手研究容器安全相关的标准,例如美国国家标准与技术研究院(NIST)等权威机构。为解决在规划、实施和维护容器时遇到的问题,NIST发布了NIST.SP.800-190该指南总结概括了在容器使用过程存在安全问题,并针对这些问题提供了针对性对策建议。
NIST 发布的容器安全指南列出了需要采取安全措施的五个方面,包括镜像、镜像仓库、编排工具、容器和主机操作系统。
●镜像风险:有可能是镜像漏洞、镜像配置缺陷、嵌入式恶意软件、未被信任的镜像、明文存储的秘钥。
●镜像仓库风险:包括与镜像仓库的连接不安全、镜像仓库中的镜像过时和不完备的认证授权机制,这些都会给镜像仓库带来风险。
●编排工具风险:包括管理访问权限不受限制、未经授权的访问、容器间网络流量隔离效果差、混合不同敏感度级别的工作负载、编排工具节点可信。
●容器风险:包括运行时软件中的漏洞、容器的网络访问不受限制、容器运行时配置不安全、应用漏洞、流氓容器。
●主机操作系统风险:主要包括攻击面大、共享内核、主机操作系统组件漏洞、用户访问权限不当、篡改主机操作系统文件系统。