如何避免6个常见的容器安全误区

来源 :计算机世界 | 被引量 : 0次 | 上传用户:misariza
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  随着越来越多的企业将数据和工作负载迁移到云上,很多企业都依赖于容器——将代码及其相关项封装在一起的软件单元,以便应用程序在不同的计算环境之间迁移时能够可靠地运行。Clemson大学遗传与生物化学系的云架构师Cole McKnight表示,容器化被认为是一种以安全方式部署应用程序和服务的强大技术。

  McKnight介绍说,Docker和Singularity等容器引擎提供了一种方法来为具体应用程序实施和分发最佳实践安全策略,而不是依靠某个用户来配置安全安装。McKnight说:“K8s、Mesos或者Docker Swarm等容器编排平台集成了安全机制,专门用于部署和执行容器。其结果是产生了易于配置的生态系统,用于开发和部署容器。”
  McKnight说,这些技术把交付安全应用程序和服务传统上所涉及的很多复杂问题抽象化了,而一些开发团队认为这在一定程度上能保证安全。问题是,容器实现不是万无一失的,开发团队在使用它们时所犯的错误可能会造成安全问题,而不是解决安全问题。

1.太专注于容器本身


  McKnight说:“实施安全容器时,最常见的错误是只关注容器本身。”他说,采用镜像安全的最佳实践非常重要,但开发人员通常是把重点放在镜像的安全性上,而没有考虑执行环境。
  McKnight说:“容器内的任何安全机制都无法保护其免受主机的攻击。承载容器引擎的每台计算机必须在每一层都受到保护,以防出现任何传统上可被利用的漏洞。”
  McKnight说,容器引擎和容器编排平台(如果适用)必须配置为能够正确使用集成的容器安全机制。“所以,容器的安全是以主机操作系统和网络为基础的。”

2.认为代码库是安全的


  独立网络安全顾问Tony Asher指出,在部署容器时,一些企业会犯错误,把代码库包括在内,并认为它们是安全的。Asher说:“这包括开发套件中的库。更为严重的是,通常为了加快开发而引入了第三方库。”
  Asher说,安全问题在于这些应用程序代码库中可能存在漏洞。“编译应用程序,并将其引入到产品容器中可能会导致漏洞攻击而带来严重风险。”
  为了解决这个问题,Asher建议企业在考虑导入第三方库时,把库限制在应用程序容器满足其成功标准所需的范围内,扫描代码以查找漏洞,并应用安全检查过程。

3.给予容器不必要的特权


  风险投资公司ClearSky的管理合伙人Jay Leek说,给容器太多特权是很常见的,攻击者可以滥用这些特权来利用容器不应该访问但确实能够访问的资源。Leek说:“在此,应该应用最小特权原则,但要执行运行时行为监视,以确保能够检测到滥用任何必要的应用程序特权的情况。”
  McKnight说,一种常见的做法是在执行环境中以特权方式运行容器。他说:“取决于主机的软件堆栈,这会有所不同。”但是在主机环境中给予容器不必要的特权会带来严重的问题,不仅会导致容器被攻破,主机也会被攻破。
  McKnight说,当需要特权时,应该谨慎地以精细的粒度给予特权。“最佳实践是避免在主机环境中为容器配置了全部权限。”

4.过度公开容器


  类似的,要以同样的理念来设计在执行时需要公开给公共网络的容器。McKnight说:“应该只开放绝对必要的通道,而不是配置全部策略导致容器公开而受到攻击。”
  在网络方面,需要仔细考虑容器的数据和进程公开给其他实体的方式。McKnight说:“容器安全还是以传统操作系统和网络安全为基础。”必须检查容器与外部卷、网络和进程之间的任何交互。

5.未能正确检查镜像


  企业在部署容器时通常忽略的另一个因素是它们所基于的镜像。McKnight说:“开发人员通常会犯的错误是,在将另一方开发的镜像集成到他们的解决方案之前,不对其进行适当的检查。”
  在从公共注册表部署容器或者将其用作基本镜像之前,应对其进行扫描以查找恶意软件和漏洞。McKnight说,此外,企业应该有一名经验丰富的开发人员彻底检查镜像,找出不必要的漏洞。
  McKnight说:“如果认为推送到公共注册表处的镜像是安全的,这可能是非常危险的,特别是用它们构建其他镜像时。”

6.不尊重不可变镜像的原则


  Asher指出,不可变镜像是不会改变的。他说:“这是Docker、K8s和其他容器解决方案的一个原则。”在零信任的互联网上部署系统和数据时,应建立一个确保完整性的流程。
  不可变镜像有一些优点,例如可预测、可销售以及可实现自动恢复。Asher说,还有完整性,这是安全的核心目标之一。
  Asher说:“当产品容器不遵循不可变原则时,应用程序支持就能够连接上它们并进行修改。这种行为会引发多重安全隐患。具体来说,它会破坏容器的完整性。”
  最令人担忧的风险之一是恶意行为者将容器修改为包含恶意代码。Asher说,这会对企业造成重大影响。监控容器的完整性可以极大地降低这种风险。
  Asher说:“改进并纠正部署流程,以防止产品容器发生变化。一定要在质量保证和测试环境中进行更改,而且更改是得到批准的,然后部署新的不可变镜像以替換旧镜像。”
  Bob Violino目前在纽约,是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特约撰稿人。
  原文网址
  https://www.csoonline.com/article/3541149/6-common-container-security-mistakes-to-avoid.html
其他文献
抗战后期,中共曾努力争取享有美国对华租借军事物资(简称美援)的分配权。1942年5月,中共改变以往对美援可能助长蒋介石摩擦政策的担心,提出分享美援。至1945年夏,争取美援工作经历4个时期:1942年5月至1944年7月美军观察组进驻延安,为展开时期;1944年7月至1944年10月赫尔利介入国共谈判,为高潮时期;1944年10月至1945年4月赫尔利称美国禁止给中共武器援助,为挫折时期;1945
[摘要]19世纪末20世纪初,大量来自东欧和南欧的所谓“新移民”给美国带来巨大的文化冲击,促使美国主流社会中“盎格鲁遵从”论一时间兴盛。这一强制同化理论支配着当时美国公立学校的教育。公立学校采取了一系列策略,对“新移民”子女实施“美国化”,力图将其塑造成地道的美国小公民。这些同化策略确实促进了东、南欧移民子女对美国主流文化的接受和认同,但是也给这些孩子及他们的父母带来一些负面影响,造成了移民家庭代
6月6日,工業和信息化部正式向中国电信、中国移动、中国联通和中国广电网络四家企业颁发了基础电信业务经营许可证,批准四家企业经营“第五代(5G)数字蜂窝移动通信业务”。   工业和信息化部部长苗圩强调,5G牌照发放后,我们一如既往地欢迎外资企业积极参与我国5G市场,共谋我国5G发展,分享我国5G发展成果。
数据,这么简单的一个单词对我们的经济社会发展和企业界产生了如此深远的影响,这让我感到有些吃惊,这的确给首席信息官们带来了为其业务制定高价值战略的压力。  很多企业都有大量的数据,但由于种种原因,一直未能很好地利用这些数据。业界曾有人套用过英国著名诗人柯勒律治《古舟子咏》(Rime of the Ancient Mariner)中的一句非常直白的诗文:“数据啊数据,你无处不在,却一点也用不上。”(原
边缘计算、物联网、计算机视觉和数据分析的结合日益紧密,制造商们正准备开始变革他们的运营方式。  为提高竞争力,制造商需要从整个生产环境中生成的数据中实时了解其运营情况。这是减少停机时间、提高产品质量、增加工厂产量和实现其他业务驱动目标的关键举措。  为了实现这些目标,明智的制造商正在通过创新的边缘计算解决方案来进行运营转型,这些解决方案能够自动收集数据,而且是在更靠近数据产生的地方对数据进行处理和
湿地日的由来  1971年2月2日,来自18个国家的代表在伊朗南部海滨小城拉姆萨尔签署了《关于特别是作为水禽栖息地的国际重要湿地公约》。为了纪念这一创举,并提高公众的湿地保护意识,1996年《湿地公约》常务委员会第19次会议决定,从1997年起,将每年的2月2日定为世界湿地日。什么是湿地  湿地指天然或人工、长久或暂时之沼泽地、泥炭地或水域地带,带有或静止或流动、或为淡水、半咸水或咸水水体者,包括
中国历史上的西北开发有什么特点?有没有过辉煌?学界对前一问题未见专门的讨论;而对后一问题则多持否定的态度,从某种意义上说,怎样认识历史上的西北开发,不仅是一个学术问题,它还从开发思路、民众信心等方面影响着现实的西北开发。  由田澍教授主编的《西北开发史研究》一书,以陕西、甘肃、宁夏、青海、新疆等西北地区历史上的开发为研究对象,全面地介绍了历史时期西北开发的自然环境、资源、民族分布、开发状况及成就,
近日,中国信通院-阿里巴巴集团安全创新中心正式成立,这次阿里与通信领域的国家顶级智库的联手,是对其一直倡导的安全联动机制的又一次重磅落地。  移动互联网兴起,物联网已成大势所趋,网络安全正面临着前所未有的挑战。有数据统计,全网已泄露个人信息超过21亿条,覆盖全网账号的40%以上。从阿里掌握的数据来看,2015、2016年iOS漏洞、安卓漏洞都呈指数级的增长.  “移动互联网的复杂程度远远高于现在传
对于越来越多的企业而言,物联网(IoT)已跨过了试验阶段,如今扎根于重要的业务流程中,为众多行业领域提供竞争优势。  集成制造设备生产商Sanmina就是个典型案例,它在利用联网传感器和云以提高工厂绩效的同时,也成功地应对了物联网数据安全挑战。  轮胎制造商米其林则使用物联网更深入地了解供应链,实时跟踪海运集装箱,并在此过程中提升客户满意度。  而Hudl则找到了使用物联网自动处理视频的方法,它提
[摘要]罗伯茨电报是研究战后初期英国工党政府对苏政策的重要文献,它对研究冷战起源的意义,可以跟乔治,凯南的长电报相提并论。罗伯茨认为,应抓住时机,直面英苏关系现实,反思苏联思维方式和俄罗斯外交传统,以便对苏联外交政策形成正确认识。罗伯茨的分析和建议,显著推动了外交部大幅度调整对苏联政策的步骤,从而加快了英国同苏联冷战对抗的进程。  [关键词]罗伯茨电报,英国对苏政策,冷战起源  [中图分类号]K5