容器掃描如何運作?
容器掃描 - 與其他形式的脆弱性掃描一樣 - 涉及使用自動化工具來搜尋容器的已知脆弱性。 通常,這涉及工具檢查容器每一層的脆弱性。 這可以包括檢查具有已知通用脆弱性和暴露 (CVE) 的軟體實例或測試軟體中的通用脆弱性。
普通容器脆弱性
容器化應用程式可以包括各種不同的脆弱性。 一些最常見的類型包括:
- 應用程式脆弱性:在容器內運行的應用程式可能包含脆弱性。 例如,網路應用程式可能包含SQL 注入或緩衝區溢位漏洞,使其容易受到攻擊。
- 不安全的配置:除了程式碼中潛在的脆弱性之外,應用程式還可能存在由錯誤配置引起的安全性問題。 例如,應用程式中的可選設定如果啟用,可能會允許存取控制繞過或使用不安全的協定。
- 網路威脅:容器化應用程式能夠透過網路與其他系統進行通訊。 如果這些網路通訊未安全配置,則容器化應用程式有可能被竊聽或利用。
- 存取控制問題:與其他應用程式和系統一樣,容器化應用程式應該具有適當的存取控制來管理對應用程式以及任何敏感功能或資料的存取。 過於寬鬆的存取控制可能會導致資料外洩、惡意軟體感染或其他威脅。
透過容器掃描檢測脆弱性
在高水準上,貨櫃安全掃描器的工作原理與任何其他脆弱性掃描器類似。 它將檢查正在測試的系統(在本例中是容器化應用程式)的已知脆弱性。
通常,這涉及枚舉系統上安裝的軟體並將其與 CVE 資料庫或國家脆弱性資料庫 (NVD) 進行比較,以確定容器是否包含任何具有已知脆弱性的軟體。 此外,掃描器還可以檢查容器及其應用程式是否有潛在的配置缺陷,例如過於寬鬆的存取控制設定。
然而,容器的性質會影響其安全掃描器的工作方式。 容器旨在允許開發人員在其他人的工作基礎上進行建置。 容器通常從基礎鏡像開始,開發人員會向該基礎鏡像添加附加層以實現他們所需的運行時環境。
這種分層架構會影響容器執行安全掃描的方式。 容器掃描器能夠單獨檢查每一層,找出每一層的已知問題。
例如,容器化應用程式可以使用第三方基礎映像作為其基礎。 雖然此圖像可能是高品質且安全的,但它也可能包含已知的脆弱性或惡意軟體。 容器掃描器可以識別這些問題,並且可能能夠推荐一個仍然可以滿足開發人員需求的替代的、更安全的映像。
可以檢測哪些類型的貨櫃脆弱性?
容器掃描可以識別容器的各種潛在問題。 一些常見的範例包括:
- 影像脆弱性:容器影像脆弱性是影像嵌入容器內的脆弱性。 例如,容器映像可能包括基礎映像使用的不安全程式庫或相依性。
- 惡意鏡像:容器通常是基於第三方鏡像建構的。 來自不受信任來源的映像可能包含惡意軟體或安全錯誤配置,旨在使使用它建構的容器容易受到攻擊。
- 存取控制:容器具有內建的存取控制來限制使用者對容器本身的存取。 如果這些存取控製配置錯誤或容易受到攻擊,攻擊者可能能夠提升其權限並接管容器。
- 應用程式脆弱性:安裝在容器內的應用程式可能包含脆弱性,使其容易受到攻擊。
有Check Point的容器安全
隨著容器化的應用越來越廣泛,容器安全掃描已成為 DevSecOps 流程的重要組成部分。 容器的獨特結構可能會帶來新的威脅,並使保護容器的過程不同於其他非容器化應用程式。
Check Point Workload Protection offers container security capabilities, including the ability to scan containers for potential vulnerabilities. To learn more about Check Point Workload Protection’s capabilities and find out how it can improve the security of your organization’s containerized applications, feel free to sign up for a free demo today.
