云原生計算基金會最近的Kubernetes報告發(fā)現(xiàn)，28%的企業(yè)有超過90%的工作負載運行在不安全的Kubernetes配置中。大多數(shù)工作負載(超過71%)使用超級用戶訪問權(quán)限運行，這增加了系統(tǒng)受損和敏感數(shù)據(jù)泄露的可能性。許多DevOps組織忽略了將readOnlyRootFilesystem設(shè)置為True，這會使其容器容易受到攻擊，并且會寫入未經(jīng)授權(quán)的可執(zhí)行文件。

容器是軟件供應(yīng)鏈中增長最快、也是最薄弱的環(huán)節(jié)

Gartner預(yù)測，到2029年，超過95%的企業(yè)將在生產(chǎn)中運行容器化應(yīng)用程序，較去年的不到50%大幅躍升。在五年內(nèi)，35%的企業(yè)應(yīng)用程序?qū)⒃谌萜髦羞\行，超過80%的商業(yè)現(xiàn)成(COTS)供應(yīng)商將以容器格式提供軟件，而去年這一比例還不到30%。在創(chuàng)建云應(yīng)用的企業(yè)中，容器及其協(xié)調(diào)平臺主導(dǎo)著DevOps和DevSecOps，而且還會加速。

然而，容器是軟件供應(yīng)鏈中最薄弱的環(huán)節(jié)之一。從錯誤配置的云、容器和網(wǎng)絡(luò)配置，到在項目生命周期中誰擁有容器安全的困惑，企業(yè)都在努力控制容器安全。攻擊者正在利用容器鏡像、運行時、API接口和容器注冊表中日益增長的漏洞來利用斷開的連接。身份安全級別較低的不安全容器(如果有的話)也是內(nèi)部攻擊者的金礦。

當(dāng)容器映像不安全時，攻擊者可以迅速超越最初的威脅表面，入侵整個網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。大多數(shù)攻擊平均在277天內(nèi)無法識別，而且可能會持續(xù)更長時間，這取決于組織的監(jiān)控是否有效。

保護容器安全的十種方法可以保護供應(yīng)鏈

從鏡像漏洞到容器運行時配置不安全，再到運行時軟件中的漏洞，容器經(jīng)常會因為配置薄弱或不一致而失敗。市場上沒有單一的解決方案可以解決所有這些挑戰(zhàn)，它需要DevOps、DevSecOps和軟件工程方面的變更管理來幫助提高容器安全。

一個很好的起點是NIST的應(yīng)用程序容器安全指南(NIST SP 800-190)，它對與容器有關(guān)的潛在風(fēng)險進行了深入評估，并為降低其風(fēng)險提出了切實可行的建議。根據(jù)NIST的說法，“容器的使用將大部分安全責(zé)任轉(zhuǎn)移到開發(fā)人員身上，因此組織應(yīng)該確保他們的開發(fā)人員擁有做出合理決策所需的所有信息、技能和工具?！盢IST建議讓安全團隊能夠在整個開發(fā)周期中定義和執(zhí)行質(zhì)量。

1.先準備好容器專用安全工具。定義一個負擔(dān)得起的、可行的安全工具路線圖，專門為保護容器(如果尚未到位)而構(gòu)建。安全團隊從旨在管理漏洞、實施訪問控制和確保合規(guī)性的工具開始。這些工具包括用于漏洞掃描的Red Hat‘s Clair、用于Kubernetes圖像掃描和分析的Anchore以及用于合規(guī)性檢查的OpenSCAP。

2.實施嚴格的訪問控制。對于任何追求零信任框架的組織來說，實施對每個容器的最低特權(quán)訪問對于降低入侵風(fēng)險至關(guān)重要，這尤其適用于管理員訪問權(quán)限和特權(quán)。CrowdStrike的獵鷹云安全、Ivanti的身份總監(jiān)和Portnox的云原生NAC解決方案都是在這一領(lǐng)域提供解決方案的供應(yīng)商之一。

3.定期更新容器鏡像。與任何企業(yè)系統(tǒng)或DevOps組件一樣，保持最新的安全更新至關(guān)重要。WatchTower專門從事Docker圖像的自動更新，Podman管理符合OCI標(biāo)準的容器，以及Google Cloud的Artiact Registry，它允許添加新的圖像，它們提供了工具來幫助平臺團隊確保他們的圖像是更新的和安全的。許多DevOps和DevSecOps團隊都在自動進行安全更新，以確保他們不會錯過一個。為了確保圖像的安全，養(yǎng)成定期執(zhí)行審計的習(xí)慣是個好主意。

4.自動化CI/CD管道中的安全。開始將自動化安全檢查集成到CI/CD管道中，如果它們還不能及早識別漏洞。使用容器特定的工具進行靜態(tài)代碼分析和運行時掃描是一個好主意。始終檢查以確保圖像來自受信任的注冊中心。Alert Logic以實時威脅檢測和事件響應(yīng)而聞名，Anchore以其容器圖像漏洞管理而聞名，Aqua Security以全面的容器安全而聞名，這三家供應(yīng)商在這一領(lǐng)域值得注意。

5.進行全面的漏洞掃描。任何旨在保護容器安全的工作流程都需要包括對容器圖像和注冊表的定期漏洞掃描。這些掃描的目標(biāo)是識別安全風(fēng)險并防止部署易受攻擊的容器。提供漏洞掃描的主要供應(yīng)商包括Aqua Security、以合規(guī)性和漏洞管理而聞名的Qualys，以及以容器運行時防御和云本地應(yīng)用程序保護平臺功能而聞名的SysDig Secure。

6.有效管理秘密。獲得正確的秘密管理是確保容器安全的核心領(lǐng)域。入侵事件的發(fā)生是因為文本機密進入了容器圖像。為了增強安全性，必須使用容器圖像簽名，以確保圖像得到驗證和信任。還建議使用來源驗證工具來幫助保護軟件供應(yīng)鏈，維護軟件組件的完整性和真實性。

7.隔離敏感工作負載。對于追求零信任框架的企業(yè)來說，細分的概念是他們自然反應(yīng)的一部分。在保護容器時，物聯(lián)網(wǎng)需要保持一致。根據(jù)數(shù)據(jù)的敏感程度和機密程度隔離容器。具有身份訪問管理層(IAM)和特權(quán)訪問管理層(PAM)的保險存儲容器內(nèi)容。通過分段全力以赴地保護工作負載，該分段可以適應(yīng)并靈活地適應(yīng)容器和Kubernetes工作流的快速變化。

8.使用不變的基礎(chǔ)設(shè)施。不可變基礎(chǔ)設(shè)施的概念是，一旦部署了服務(wù)器，它們就永遠不會被修改。如果需要更新或修復(fù)，則從帶有新添加或更改的公共映像創(chuàng)建和配置新服務(wù)器，以替換舊服務(wù)器。AWS Fargate、Docker和Google Kubernetes Engine在提供基于容器和Kubernetes的不變性基礎(chǔ)設(shè)施方面處于領(lǐng)先地位。

9.實施網(wǎng)絡(luò)策略和分段。對網(wǎng)絡(luò)流量如何流經(jīng)網(wǎng)絡(luò)獲得更好的可見性可提供正確分段所需的寶貴數(shù)據(jù)。它對于定義安全約束和提供遙測數(shù)據(jù)也是無價的，領(lǐng)先的供應(yīng)商希望使用這些數(shù)據(jù)來訓(xùn)練他們的大型語言模型。領(lǐng)先的供應(yīng)商包括AlgoSec、思科和Check Point軟件技術(shù)公司。這些公司中的每一家都提供用于維護合規(guī)性、執(zhí)行策略和管理安全操作的應(yīng)用程序和工具。

10.實施先進的容器網(wǎng)絡(luò)安全。確定網(wǎng)絡(luò)集成點可能出現(xiàn)故障或被攻擊者破壞的位置，這就是為什么需要采取額外的步驟來保護容器。超越容器本身并保護其跨網(wǎng)絡(luò)的接入點是關(guān)鍵。思科、CrowdStrike、Ivanti、Palo Alto Networks和VMware/Broadcom都將高級容器網(wǎng)絡(luò)安全作為其平臺的一部分。獲得高級容器網(wǎng)絡(luò)安全權(quán)限將采取綜合方法，單個供應(yīng)商很可能無法針對企業(yè)擁有的更復(fù)雜的網(wǎng)絡(luò)配置進行擴展。