青藤云安全

青藤云安全最新出炉!首份《生产环境中的容器运行指南》来了

2021-09-16

容器技术流行多年,但在使用容器的过程中一直存在着诸多安全隐患,尤其是无法确保生产环境中容器的安全运行。青藤结合多年来在容器安全领域的研究与实践经验,总结整理了《生产环境中的容器运行指南》,该指南将探讨在生产环境中运行容器的效益和部署容器化应用的挑战,概述容器的生态体系以及与之相配套的开发流程和结构。

一、理解容器、微服务、编排工具

容器技术让容器化的应用程序能够在不同的操作系统上运行,为开发人员提供了一种应用程序的编码方法。理解容器、微服务、编排工具,及其之间的相互关系是保护容器运行安全的前提。

二、构建和部署容器

容器的出现帮助企业实现了持续开发、持续打包,并使应用程序更快地投入生产供应链的目标。

1、构建镜像

在镜像创建过程中需要注意“使用可信的基础镜像、限制库和依赖性、限制访问、镜像扫描”等,还可利用各种工具集成到流程中去。

2、分发镜像

当镜像构建完成后,会被推送到镜像仓库,镜像仓库必须经过认证。

3、实施CI/CD/CS

完整的容器供应链流程是一个持续不断的过程,包括:

● 持续集成,包括为每个功能编写自动化测试、创建自定义CI流程、建立良好的测试功能;

● 持续交付,需要注意镜像应该由CI服务器自动推送到镜像仓库,并通过静态测试和运行时测试;

● 持续部署,具有部署完全自动化、回滚机制、集成功能标志等特点;

● 持续安全,在容器生命周期的生产阶段要实施新的安全管控。

三、容器的持续监控

容器监控,并不是简单地获得进程的可见性,而是通过最小代价获得整体可见性。

1、制定监控流程

在生产环境中运行容器化应用程序,必须不断对容器进行监控,主要体现在确定指标、追踪记录、实时告警、故障排查等方面。

2、收集数据方式

容器监控需要广泛的收集指标和事件数据,以反映真实状态下的服务响应时间、资源利用率和安全状况。

3、数据汇总和分类

收集数据的重点在于收集分析逻辑服务的指标,而非物理基础设施的指标。这些指标主要包括基础设施层、服务、应用、编排和自定义指标等。

四、确保容器安全性

容器的安全实践是一场永无止境的循环战役,可以从以下几个方面确保容器的安全性。

1、实施容器限制

容器轻量级和单进程的性质决定了一旦发生软件错误、设计失误或恶意软件攻击就很容易遭到拒绝。这需要实施容器限制和监控,防止容器消耗太多的资源。

2、过期的容器镜像安全

软件不更新的时间越长,被攻击者利用的可能性就越大。要避免此情况,可以持续监控容器在生产环境中运行的时间、尽量避免在生产环境中运行同一镜像的不同版本、确保所使用的漏洞扫描工具拥有最新的漏洞库等等。

3、密钥管理

任何运行的软件都可能包含敏感信息,这些敏感信息应该独立于应用程序代码、容器镜像和配置来进行管理。

4、容器镜像的真实性

在使用镜像之前要思考镜像从何而来、镜像的创建者是否可信、该镜像最后一次更新是什么时候、正在使用哪些安全策略、如何确认镜像是否被篡改过等问题。

5、共享内核架构的安全性

主机系统是一个共享组件,一旦被攻击,就会导致容器底层被攻击。要限制对容器和主机操作系统服务的不必要的内核功能的访问,降低默认的容器权限。

6、运行时监控

即便采取了所有的预防措施,容器仍然可能在运行期间被入侵。青藤蜂巢•云原生安全平台采用多锚点的分析方法,实时检测容器中的已知威胁、恶意行为、异常事件。

7、安全合规

安全问题大部分都是由于未遵循安全配置和合规性实践导致的,容器具有许多默认的运行时安全功能。

8、K8S安全

Kubernetes的安全功能主要包括:基于角色的访问控制(RBAC)规定了授权和访问控制规范,定义了Kubernetes实体上允许的行为,Pod安全策略和网络策略等。

写在最后

要充分实现容器化应用程序的安全性、高可用性和数据持久性,就需要确保生产环境中容器的安全运行,这是保护企业容器安全的“必修课”。

扫描二维码

下载完整版的《生产环境中的容器运行指南》


预测、防御、检测、响应,让安全一触即达

免费试用
电话沟通
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
免费试用 获取资源