什麼是容器運行時安全性?
容器執行階段安全性是一組工具和做法,可以保護容器從實例化到終止。 它是容器安全性和工作負載保護的一個子集,旨在保護從實例化到終止從容器發生的所有內容。 例如,容器運行時安全性涉及掃描正在運行的容器的脆弱性,但掃描純文字原始碼。 這意味著脆弱性掃描器是運行時容器安全工具的一個範例,但SAST掃描器不是。
但是,容器運行時安全性並不是一個孤立的概念。 除了容器本身之外,保護原始碼、 Kubernetes (K8s)和基礎設施即程式碼(IaC) 也是提供深度防禦的重要方面,從而使企業容器運行時安全工作取得成功。
企業需要知道的 5 大容器執行階段安全威脅
下列五個容器執行階段安全威脅可能會對執行容器工作負載的企業造成重大風險。
- 未經授權的容器部署: 從 MITRE ATT & CK 企業對手使用的技術清單中部署容器 (T1610) 是容器安全威脅的絕佳例子。 利用此技術,攻擊者部署一個容器(例如使用 Docker 的創建和啟動命令),該容器繞過安全控制並啟用漏洞。
- 設定錯誤和不安全的組態:不安全的組態是最常見的容器安全風險之一。 例如,暴露不必要的網路連接埠或硬編碼應用程式開發介面金鑰的容器就是不安全配置的範例。
- 帶有惡意軟體的容器鏡像:當企業使用公共容器註冊表時,這種風險尤其普遍。 威脅行為者可以將惡意軟體嵌入到容器映像中,然後將其發佈到公共註冊表以供企業使用。
- 權限提升攻擊:有多種權限提升攻擊,可導致攻擊者獲得容器或基礎主機的 root 存取權。 這些攻擊通常是從利用不安全的配置或現有的脆弱性開始的。
- 未修補的脆弱性:無與倫比的脆弱性,就像應用程式中的存取控制錯誤一樣,為威脅參與者提供了更簡單的途徑來破壞容器。
如何尋找和修復容器安全執行階段風險
與左移安全性的概念一致,早期檢測是有效容器運行時安全性的關鍵。 理想情況下,企業應該在容器實例化之前偵測威脅。
但是,這並不總是實際的。 這就是執行時間掃描和威脅偵測發揮作用的地方。 一旦偵測到威脅,最理想的情況是以智慧地限制假陽性的方式自動修復它。 在其餘情況下,應迅速提醒安全專業人員以採取糾正措施。
5 執行階段容器安全性最佳做法
以下五種最佳做法可以幫助企業有效地尋找和修復容器執行階段安全風險。
- 僅執行受信任的容器映像:僅從安全存放庫執行受信任的容器映像,可以限制實例化不安全映像的風險。
- 實施連續脆弱性掃描:時間點安全檢查很有用,但還不夠。 企業應持續掃描工作負載以進行即時威脅偵測,以取得更快速的威脅。
- 使用低權限使用者執行容器:企業應避免以 root 使用者身份執行容器或使用 Docker 權限旗標執行容器。 通常,容器不需要對主機環境的 root 訪問權限,因此使用 root 違反了最小權限的原則。 同樣地,特權標誌會繞過重要的安全控制。
- 不要啟用可寫入的檔案系統:容器通常是暫時的。 啟用可寫入的檔案系統,攻擊者可以寫入和執行惡意程式碼的潛力。
- 集中並自動化可見性和原則強制執行:手動監控和保護容器無法擴展。 它也容易出現人為錯誤。 儘管實際上,企業應利用集中和自動化容器安全性和政策的可見性的工具。
有效的容器運行時安全性需要全面的方法
容器運行時安全性不存在於真空中。 例如,IAC 安全性和容器運行時安全性相互相伴。 為了維持強大的安全性狀態,企業需要實施整個軟體開發生命週期 (SDLC) 整合安全性的整體解決方案。 這意味著能夠實現跨雲端企業範圍的可見性和安全性,並在企業運行容器的任何地方提供安全性的工具對於現代工作負載和運行時保護至關重要。
具有 CloudGuard 工作負載保護的容器運行時安全
CloudGuard 工作負載保護是一種雲端原生工作負載安全解決方案。 它提供可見性、威脅防護,並支援跨多雲端環境的合規性。 借助 CloudGuard,企業可以從集中式平台獲得全面且自動化的安全性。 CloudGuard 工作負載保護的優點包括:
- 容器安全:CloudGuard容器安全功能包括對K8s叢集的深入視覺性、容器鏡像掃描、即時威脅防護以及透過中央准入控制器執行策略。
- 無伺服器的資安保障:無伺服器應用程式為企業帶來了新的安全挑戰。 CloudGuard 透過行為防禦來幫助企業減輕無伺服器的資安風險,該行為防禦可以偵測無伺服器功能的潛在誤用和濫用。
- 應用程式安全: CloudGuard AppSec由正在申請專利的監控人工智慧引擎提供支援。 CloudGuard 首先對正常行為進行基準分析,然後建立設定檔以對請求進行智慧評分,以減少誤報,同時不會影響企業安全狀況。
如果您有興趣了解有關容器安全性的更多信息,請立即報名參加演示。
反映意見