為什么容器可以成為攻擊者的天堂？

容器——包含整個運(yùn)行時(shí)環(huán)境的輕量級安裝包——已經(jīng)解決了可移植性、兼容性和快速、受控部署的解決方案。容器包括一個應(yīng)用程序、依賴項(xiàng)、庫和其他二進(jìn)制文件以及運(yùn)行它們所需的配置文件。

隨著微服務(wù)、基礎(chǔ)設(shè)施即代碼和面向服務(wù)的架構(gòu) (SOA) 時(shí)代的到來，容器得到了許多最流行的云基礎(chǔ)設(shè)施的支持，并為當(dāng)今大多數(shù)應(yīng)用程序提供服務(wù)。

在不到十年的時(shí)間里，被稱為容器的概念已經(jīng)登上了尖端計(jì)算技術(shù)的最前沿，乘著云計(jì)算的浪潮。與 x86 虛擬化技術(shù)改變數(shù)據(jù)中心計(jì)算的方式相同，容器重新定義了用于大規(guī)模交付應(yīng)用程序性能的同類最佳方法。

問題定義

就像任何計(jì)算系統(tǒng)一樣，容器由軟件組件組成，其中任何一個組件都可能包含缺陷和漏洞。容器的漏洞管理是識別、優(yōu)先排序和修復(fù)可能暴露容器的漏洞的過程。暴露可以很容易地包括容器所連接的其他系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。這些組件中的缺陷可能使攻擊者能夠控制系統(tǒng)并提供對敏感數(shù)據(jù)的訪問權(quán)限，從而導(dǎo)致經(jīng)濟(jì)損失、聲譽(yù)受損和系統(tǒng)中斷。

隨著容器技術(shù)的普及，檢測和修復(fù)用于創(chuàng)建、操作和管理它們的代碼中的漏洞的重要性也在增加。

挑戰(zhàn)

在哪里檢測漏洞

一個典型的使用容器的組織遵循一個開發(fā)流程，從規(guī)劃、代碼創(chuàng)建、修訂和構(gòu)建到測試、發(fā)布、部署到生產(chǎn)環(huán)境并最終穩(wěn)定運(yùn)行。每個階段都引入了檢測和糾正軟件漏洞的機(jī)會。

在哪個階段檢測漏洞最好？如何做到這一點(diǎn)，同時(shí)最大限度地減少對開發(fā)周期的干擾？什么工具最適合這項(xiàng)任務(wù)？其中許多問題都受到組織已在使用的工具的影響。使用開源或商業(yè)工具的決定也會影響組織的漏洞管理策略。

左移

隨著公司從傳統(tǒng)的瀑布開發(fā)模型轉(zhuǎn)向敏捷方法，一個越來越流行的術(shù)語是“左移”。在典型的開發(fā)流程中，各個階段從左到右閱讀：

計(jì)劃 —> 代碼 —> 構(gòu)建 —> 測試 —> 發(fā)布 —> 部署 —> 操作

在漏洞管理領(lǐng)域，左移意味著在接近軟件開發(fā)生命周期 (SDLC) 或開發(fā)管道開始時(shí)實(shí)施漏洞掃描的離散嘗試。

容器漏洞管理策略

除了簡單地向左移動之外，還有多種合適的機(jī)會來檢測容器環(huán)境中的漏洞。

CI/CD 管道掃描

持續(xù)集成/持續(xù)部署是創(chuàng)建、審查和測試代碼時(shí)主動開發(fā)的特定階段。Jenkins、GitLab 和 Bamboo 等工具在自動化構(gòu)建軟件模塊所涉及的工作流方面很受歡迎。這是執(zhí)行漏洞掃描的最佳場所，因?yàn)榭梢砸暂^低的成本更快地識別、修復(fù)和重新測試問題。幾種流行的漏洞管理工具可以與工作流自動化集成。

注冊表掃描

注冊表是用于存儲容器鏡像的存儲庫（或存儲庫的集合），這些鏡像是用于部署運(yùn)行容器的多個單獨(dú)實(shí)例的模板。容器編排的一個主要組件涉及將容器從注冊表實(shí)例化到生產(chǎn)計(jì)算環(huán)境中。

因?yàn)檫@是一個如此常見和不可或缺的組件，幾乎所有流行的漏洞掃描工具都可以配置為掃描駐留在注冊表中的鏡像。這種識別容器漏洞的方法可能是發(fā)現(xiàn)和修復(fù)安全問題的成本最低、價(jià)值最高的方法。

通過查明容器映像中的漏洞，您可以修復(fù)可能存在于數(shù)十個或數(shù)百個正在運(yùn)行的容器實(shí)例中的缺陷。通過編排的魔力，舊容器可以被銷毀并無縫替換為更新版本。

運(yùn)行時(shí)環(huán)境掃描

掃描正在運(yùn)行的容器中的漏洞最接近傳統(tǒng)的漏洞發(fā)現(xiàn)方法，并且已經(jīng)在信息安全中使用了幾十年。這種方法意味著對正在運(yùn)行的容器執(zhí)行漏洞掃描以發(fā)現(xiàn)缺陷。然而，容器的本質(zhì)是你不會修復(fù)發(fā)現(xiàn)的東西——你修復(fù)開發(fā)管道中的容器鏡像并替換有故障的實(shí)例。就時(shí)間而言，如果不是成本的話，這可能是一個相對昂貴的提議。也就是說，這種方法是檢測未正確部署的“流氓”容器的最佳方法。

主節(jié)點(diǎn)（主機(jī)）掃描

繼續(xù)掃描容器化環(huán)境中的支持基礎(chǔ)架構(gòu)非常重要——這意味著支持容器運(yùn)行時(shí)的主機(jī)和虛擬機(jī)（Containerd、LXC、CRI-O 等）。好消息是，許多支持集成到流行 CI/CD 工具、注冊表和運(yùn)行時(shí)的工具都是由傳統(tǒng)漏洞管理供應(yīng)商提供的，提供了功能全面的一站式服務(wù)。

容器安全的關(guān)鍵原則

使用容器并不能減輕有條不紊地識別和修復(fù)軟件漏洞的需要。容器——雖然不可變——由復(fù)雜的層組成，每個層都有潛在的漏洞和安全挑戰(zhàn)。

開發(fā)管道中有多種機(jī)會可以掃描和突出顯示這些漏洞。組織有多種產(chǎn)品可供選擇。了解這些各種工具的功能很重要，這些工具可能會有所不同，可以作為開源或商業(yè)風(fēng)格提供。當(dāng)組織開始為漏洞管理選擇策略和產(chǎn)品時(shí)，應(yīng)考慮一些關(guān)鍵原則：

使用來自可信來源的最少基礎(chǔ)鏡像或“distroless”鏡像構(gòu)建容器，請記住，某些容器掃描工具在沒有包管理器的發(fā)行版中存在問題。

維護(hù)您添加到鏡像的所有工具、包和庫。

仔細(xì)選擇適合您組織流程、DevOps 實(shí)踐、生態(tài)系統(tǒng)和功能的漏洞掃描工具。

計(jì)劃在容器開發(fā)管道的每個階段實(shí)施漏洞掃描，同時(shí)注意合規(guī)性要求。

考慮額外的控制，例如暫存注冊表、Kubernetes 準(zhǔn)入控制器、鏡像簽名、多階段構(gòu)建等。

請記住，合規(guī)性和可信仍然是任何計(jì)算環(huán)境的重要考慮因素——容器也不例外。

編輯：黃飛

?