容器是云原生應(yīng)用界一項迅猛發(fā)展的技術(shù)。就像計算系統(tǒng)一樣，容器由軟件程序包組成，而這些軟件程序包含有所有必要的組件，比如用于從任何地方運行應(yīng)用程序所需的二進制代碼、文件和庫。

容器是輕量級的，開發(fā)運維（DevOps）團隊使用它們來開發(fā)應(yīng)用程序和部署服務(wù)。此外，組織還使用容器來部署和擴展DevOps基礎(chǔ)架構(gòu)，比如持續(xù)集成/持續(xù)交付（CI/CD）工具。報告顯示，到2022年，組織可能在容器上運行24%的工作負(fù)載。

然而，盡管容器有諸多好處，但這并不意味著它們就是完全安全的。一項研究顯示，87%的組織在生產(chǎn)環(huán)境中部署了容器，而94%的組織至少遇到過一次安全事件。另一項研究發(fā)現(xiàn)，由于容器安全問題，45%的組織已推遲或放慢了應(yīng)用程序部署工作。

所有這些問題可能導(dǎo)致組織放慢轉(zhuǎn)型步伐，蒙受財務(wù)上和聲譽上的損失。為了避免此類情況，組織需要了解云容器威脅，并學(xué)習(xí)如何將風(fēng)險降至最低。

為什么云容器成為越來越大的威脅？

容器是當(dāng)下的一股潮流，它在提高敏捷性和促進創(chuàng)新方面起到了關(guān)鍵作用，也是應(yīng)用程序開發(fā)必不可少的。近年來，容器的采用率飆升，會繼續(xù)飆升，畢竟它徹底改變了組織部署IT基礎(chǔ)架構(gòu)的方式。

Gartner 預(yù)測，到2023年，70%的組織將使用容器化應(yīng)用程序。云原生計算基金會（CFNC）在一項調(diào)查中發(fā)現(xiàn)，96%的企業(yè)已經(jīng)評估或積極使用Kubernetes。此外，Red Hat的《2022年企業(yè)開源狀況報告》發(fā)現(xiàn)，68%的IT領(lǐng)導(dǎo)者表示容器技術(shù)處于與人工智能和機器學(xué)習(xí)等其他重要技術(shù)相提并論的地位。

容器因顯著的優(yōu)勢而得到采用，但也會帶來對組織產(chǎn)生不利影響的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。如果企業(yè)依賴容器技術(shù)，卻未能識別安全漏洞并實施緩解措施，其敏感的業(yè)務(wù)數(shù)據(jù)就岌岌可危，包括客戶數(shù)據(jù)。由于這些威脅大多數(shù)無法借助代理或VPN等端點安全工具得到緩解，形勢變得更為嚴(yán)峻。以下是云容器對組織構(gòu)成威脅的幾個原因：

人為錯誤

黑客可以通過幾個途徑危及云端的容器技術(shù)。一項研究表明，90%的受訪者遇到過容器安全事件，67%的受訪者遇到過容器嚴(yán)重配置不當(dāng)。事實上據(jù)Gartner聲稱，到2025年，超過89%的云泄密事件的根本原因是用戶配置不當(dāng)和錯誤。

容器不是為存儲數(shù)據(jù)而構(gòu)建的，但有時組織會犯將敏感數(shù)據(jù)存儲在容器鏡像內(nèi)這個錯誤。由于存儲的數(shù)據(jù)可以公開訪問，這為威脅分子達到目的提供了很大的便利。比如說，發(fā)現(xiàn)托管鏡像的容器注冊中心含有可供公眾訪問的源代碼后，Vine的全部代碼都被泄露了。

利用薄弱環(huán)節(jié)

網(wǎng)絡(luò)犯罪分子可以在底層操作系統(tǒng)中找到薄弱環(huán)節(jié)，并利用該薄弱環(huán)節(jié)來訪問容器。比如說，黑客可以通過竊取安全性弱的憑據(jù)（登錄信息）闖入云環(huán)境，然后可以篡改應(yīng)用程序配置，這可能導(dǎo)致供應(yīng)鏈出現(xiàn)安全威脅。黑客還可以利用容器來訪問主服務(wù)器。在這兩種情況下，容器都會受到威脅，數(shù)據(jù)安全因此面臨風(fēng)險。

鏡像漏洞

容器的另一個威脅與構(gòu)建容器的鏡像有關(guān)。企業(yè)可以重用鏡像的組件，而不是從頭開始構(gòu)建新容器。因此，容器鏡像在容器生態(tài)系統(tǒng)中發(fā)揮著至關(guān)重要的作用，但它帶來的風(fēng)險也不容忽視。

有報告顯示，托管在Docker Hub存儲庫上的超過200萬個容器鏡像至少存在一個嚴(yán)重漏洞。惡意攻擊者通過鏡像搶注攻擊來攻擊公共注冊中心。在這種攻擊下，網(wǎng)絡(luò)犯罪分子上傳帶有真實合法鏡像名稱的惡意鏡像。

攻擊者可以用惡意軟件滲入創(chuàng)建容器的鏡像。在整個容器中傳播的惡意軟件會破壞文件，甚至導(dǎo)致數(shù)據(jù)被盜。

API服務(wù)器訪問

研究人員發(fā)現(xiàn)，380000余臺Kubernetes API服務(wù)器允許訪問公共互聯(lián)網(wǎng)。這使得管理云部署的開源容器編排引擎很容易成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。中招的API服務(wù)器使威脅分子能夠操縱各種Kubernetes組件之間的聯(lián)系，比如外部托管的惡意資源。

此外，攻擊者可以利用通信渠道在Pod之間傳播加密貨幣挖掘惡意軟件。這甚至?xí){到組織的可用應(yīng)用程序和服務(wù)。

除此之外，由于容器通過網(wǎng)絡(luò)與其他容器和編排環(huán)境進行聯(lián)系，SQL注入和XSS攻擊之類的攻擊就司空見慣。

云容器防御最佳實踐

報告顯示，75%的容器存在高?；驀?yán)重的可修補漏洞。隨著企業(yè)的應(yīng)用程序和服務(wù)轉(zhuǎn)而采用容器技術(shù)，保護云容器的需求變得勢在必行。

以下是緩解云容器威脅的有效方法：

•  實施在容器生命周期的各個階段保護容器的安全控制。
•  由于容器由應(yīng)用程序代碼、文件、庫和二進制文件組成，應(yīng)建立官方容器注冊中心。
•  保護API服務(wù)器是重中之重。API服務(wù)器需要安全性強的身份驗證憑據(jù)，開發(fā)人員應(yīng)通過結(jié)合多因素身份驗證（MFA）或其他工具來限制未授權(quán)訪問。
•  使用容器化的下一代防火墻來保護容器遠離惡意軟件等基于網(wǎng)絡(luò)的威脅。下一代防火墻可以防止惡意軟件進入容器并在容器內(nèi)傳播，并阻止旨在泄露數(shù)據(jù)的惡意出站連接。
•  增加使用基于人工智能的自動化配置管理，以避免人為錯誤風(fēng)險。
•  徹底掃描內(nèi)部源代碼，以確保容器鏡像中不存在惡意軟件。然而，由于容器鏡像還包括從第三方導(dǎo)入的資源，因此光掃描還不夠。應(yīng)使用容器掃描工具掃描整個鏡像，因為它可分析鏡像內(nèi)容，并標(biāo)記可疑或不安全的組件，而不是掃描源代碼。
• 部署訪問控制以確保沒有未授權(quán)用戶在訪問注冊中心中的鏡像。這樣一來，組織可以防止數(shù)據(jù)泄露，因為鏡像會泄露私密數(shù)據(jù)。
• 不斷進行安全測試，以防止最細小的錯誤配置。

如果組織確保能夠滿足容器化應(yīng)用程序的漏洞管理、運行時保護、合規(guī)和網(wǎng)絡(luò)安全等要求，它們無異于有了成功的策略來防范云容器威脅。

結(jié)語

由于容器技術(shù)日益在云端得到采用，加上容器有眾多好處，組織可能忍不住忽略潛在的安全威脅。人為錯誤、鏡像漏洞和中招的API服務(wù)器，這是導(dǎo)致云容器威脅增加的三大原因。這些問題常常導(dǎo)致惡意軟件攻擊、數(shù)據(jù)盜竊和泄漏。采用適當(dāng)?shù)娜萜靼踩胧┯兄诮档惋L(fēng)險，比如使用容器安全工具、維護API安全、部署防火墻以及持續(xù)監(jiān)控和測試。

本文翻譯自：https://cybersecurity.att.com/blogs/security-essentials/are-cloud-containers-a-sugar-coated-threat如若轉(zhuǎn)載，請注明原文地址。