在部署任何基于容器的應(yīng)用程序之前，首先通過確保Docker、Kubernetes或其他容器防火墻來保護(hù)容器的安全至關(guān)重要。有兩種方式來實(shí)現(xiàn)容器防火墻：手動(dòng)或通過使用商業(yè)解決方案。但是，不建議對(duì)基于Kubernetes的容器部署進(jìn)行手動(dòng)防火墻部署。無論如何，無論采取哪種策略，創(chuàng)建一套網(wǎng)絡(luò)防火墻規(guī)則來保護(hù)容器部署至關(guān)重要，這可以防止容器敏感系統(tǒng)和數(shù)據(jù)被訪問。

[[221513]]

新漏洞的不但出現(xiàn)加強(qiáng)了容器安全的必要性，Apache Struts背后的黑客的創(chuàng)造力，Linux堆棧沖突以及cow exploits，所有這些都是因重大數(shù)據(jù)泄露和勒索軟件攻擊臭名昭著，企業(yè)永遠(yuǎn)不知道接下來會(huì)發(fā)生什么。此外，這些攻擊具有相當(dāng)?shù)膹?fù)雜性，不僅需要漏洞掃描和修補(bǔ)來應(yīng)對(duì)威脅。

攻擊通常是一系列的事件(或稱為kill chain)，攻擊者將進(jìn)入一個(gè)易受攻擊的系統(tǒng)，然后升級(jí)他的訪問權(quán)限并掃描其他系統(tǒng)，最終違反數(shù)據(jù)并造成損害。主動(dòng)式容器防火墻策略可以幫助檢測(cè)多個(gè)階段的kill chain，并減少此類攻擊，即便在涉及零漏洞的情況下也是如此。

部署防火墻來保護(hù)容器并不簡單，就本質(zhì)而言，容器部署根據(jù)需要?jiǎng)討B(tài)擴(kuò)展、更新并遷移主機(jī)和云，以優(yōu)化環(huán)境。編排工具管理Pod和容器的IP地址，使得攻擊者難以了解網(wǎng)絡(luò)流量。每個(gè)容器都包含容器的虛擬化網(wǎng)絡(luò)接口，無論是Docker、Kubernetes還是其他程序，環(huán)境的編排工具都會(huì)自動(dòng)部署。由于這種高度動(dòng)態(tài)的特性，對(duì)傳統(tǒng)防火墻規(guī)則和iptables來說，檢查流量并防止容器受到不必要的訪問是一個(gè)巨大的挑戰(zhàn)。

容器防火墻保護(hù)

可用于容器防火墻部署的選擇與傳統(tǒng)防火墻的選擇相同，包括以下內(nèi)容：

• 3/4層過濾：容器安全性可以基于IP地址和端口實(shí)現(xiàn)。還可以使用Kubernetes網(wǎng)絡(luò)策略和其他Kubernetes工具以動(dòng)態(tài)方式更新規(guī)則，在部署更改和擴(kuò)展容器時(shí)加以保護(hù)。需要指出的是，這些工具沒有配備實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)控和可視化。
• Web應(yīng)用攻擊檢測(cè)：運(yùn)行Web應(yīng)用程序的面向Internet的容器可以通過檢測(cè)常見攻擊的方式進(jìn)行保護(hù)，這符合Web應(yīng)用程序防火墻(WAF)的功能。需要注意的是，僅限于常見的外部攻擊，保護(hù)內(nèi)部容器到容器之間的流量所需的多協(xié)議過濾超出了此方法的范疇。
• 7層Docker防火墻：通過具有7層過濾功能的容器防火墻和容器間流量的深度包檢測(cè)，可以使用網(wǎng)絡(luò)應(yīng)用程序協(xié)議來保護(hù)容器。與此同時(shí)，這類防火墻還集成了容器運(yùn)行時(shí)引擎和Kubernetes等云容器編排工具，自動(dòng)創(chuàng)建策略，基于白名單的保護(hù)以及支持云和主機(jī)安全的應(yīng)用程序威脅保護(hù)。

手動(dòng)配置Docker容器防火墻

對(duì)于那些對(duì)自己的Linux網(wǎng)絡(luò)功能充滿信心的用戶而言，手動(dòng)配置Dcoker容器防火墻是一種有效的選擇。

完成此操作的基本步驟如下：

• 將iptables設(shè)置為false以確保Docker不會(huì)覆蓋您的規(guī)則
• 檢查您創(chuàng)建的規(guī)則并保存
• 添加允許/轉(zhuǎn)發(fā)的規(guī)則(I/O接口，ICMP，Docker)
• 為輸入和輸出流量以及流量路由添加防火墻規(guī)則，確保容器仍然能夠根據(jù)需要訪問互聯(lián)網(wǎng)
• 加載防火墻規(guī)則
• 允許或限制icc設(shè)置為等于true的主機(jī)到主機(jī)容器通信

遵循這些步驟將能夠通過基本的網(wǎng)絡(luò)通信進(jìn)行控制，通過進(jìn)一步的規(guī)則更新或商用Docker容器解決方案來實(shí)現(xiàn)這些功能的自動(dòng)化，可以實(shí)現(xiàn)對(duì)容器與其他容器進(jìn)行通信的更細(xì)致的命令。實(shí)際上，在高度動(dòng)態(tài)的環(huán)境中手動(dòng)更新容器與容器之間的規(guī)則是不可取的。

云原生方式

盡管云原生Docker容器防火墻與下一代防火墻或WAF相似，但它們?cè)谠坪屯泄馨踩δ芊矫嬗芯薮蟛町?。通過在云原生容器環(huán)境中提供保護(hù)，這些防火墻不僅能夠保護(hù)外部南北向流量，還能夠保護(hù)內(nèi)部東西向流量，同時(shí)隔離并保護(hù)工作負(fù)載、應(yīng)用程序?qū)?zhàn)和動(dòng)態(tài)容器環(huán)境。

通過行為學(xué)習(xí)來啟用自動(dòng)策略創(chuàng)建

容器防火墻可能了解容器環(huán)境中每個(gè)基于容器服務(wù)的正常行為，通過收集盡可能多的行為數(shù)據(jù)，防火墻就可以系統(tǒng)地理解應(yīng)用程序的意圖，管理安全策略以自動(dòng)支持此意圖，識(shí)別并禁止與此意圖不符合的行為。

深度包檢測(cè)(DPI)

深度包檢測(cè)(DPI)技術(shù)是容器防火墻可以提供的另一個(gè)重要安全需求。所有漏洞都使用可預(yù)測(cè)的攻擊媒介：惡意HTTP請(qǐng)求可能包含格式錯(cuò)誤的頭文件，或者在可擴(kuò)展標(biāo)記語言(XML)對(duì)象中包含可執(zhí)行的shell命令。有效的檢測(cè)部署可以查找和識(shí)別這些方式，DPI為此過程增加了一個(gè)必要的確定性，允許容器防火墻實(shí)時(shí)審查每個(gè)容器連接，并判斷是否允許數(shù)據(jù)包繼續(xù)傳輸。

無論是手動(dòng)部署容器防火墻還是使用商用防火墻，對(duì)于用戶的解決方案能夠檢測(cè)主機(jī)和容器中的特權(quán)升級(jí)和可疑進(jìn)程，掃描這些漏洞以及監(jiān)控其活動(dòng)和行為的任何容器環(huán)境的安全性至關(guān)重要。商用的容器網(wǎng)絡(luò)安全選擇通常提供終端安全和審計(jì)功能以及強(qiáng)大的防火墻功能。安全審計(jì)和一致性測(cè)試工具，如Docker Bench for Security或CIS Kubernetes基準(zhǔn)測(cè)試工具，將用戶的容器環(huán)境納入測(cè)試并指出安全改進(jìn)的特定需求。