文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

了解云端容器安全的概念和需求

2024-11-30 02:39

关注

在本指南中,我们将探讨在云端运行容器的好处,并仔细探讨如何确保容器化工作负载的安全性。

如何在云端运行容器

与传统应用程序相比,容器镜像不仅包含应用程序,还包含了所有依赖项,包括系统库、驱动程序和配置。容器镜像简化了部署,让虚拟机上手动配置操作系统和容易出错的设备安装变成过去式。部署变得流畅、快速、无故障。

所有大型云服务提供商(CSP)都为运行容器工作负载提供了多种云服务。第一种方式是客户部署自己选择的开源或第三方容器平台(如RedHat OpenShift或Apache Mesos)。他们自己在云端的虚拟机上安装这些平台。因此,在这种情况下,云提供商不参与容器平台的安装和运行。

第二种选择是在CSP提供的托管容器平台服务上运行容器。例如,Azure Kubernetes Service(AKS)、Google Kubernetes Engine(GKE)和Amazon Elastic Kubernetes Service。只需点击一下,Kubernetes集群就会自动启动。

在这种模式下,容器和平台配置由客户负责,这是这种模式与第三种选择(云端集中容器运行时平台,如Azure Function Apps或Azure Web Apps)的主要区别。除了其他选项外,后一种服务还让工程师能提供容器化应用程序,并隐藏底层容器平台的存在。因此,安全架构师面临的挑战是如何确保这一大堆运行容器化应用程序的平台的安全。

容器安全要求

为了有效地保护容器工作负载,安全架构师需要全面了解技术层和安全相关任务。这些任务旨在加固所有相关组件、管理漏洞以及主动识别和应对整个技术栈的威胁和攻击。

加固需要安全地配置所有组件,特别是采用强大的访问控制和网络设计。漏洞管理应识别自主开发和第三方组件中的安全漏洞和错误配置,并对其进行修补。即使容器镜像在部署时没有漏洞,也可能在之后发现漏洞,Log4j就是一个例子。最后,黑客可以攻击容器化应用程序和底层容器平台。因此,企业必须监测容器资产中的异常情况和可疑行为(威胁检测)。

加固、漏洞管理和威胁检测对整个技术堆栈(图 3,左)都是必需的,包括:底层基础架构层(虚拟机、网络、存储或云租户设置)、容器平台本身(如 OpenShift 或Amazon Elastic Kubernetes Service EKS),最后是每个容器化应用。

平台层的职责因云服务而异。对于Azure App Functions等容器化运行时环境,客户必须确保镜像无漏洞,服务配置安全;其他一切均由CSP负责。相比之下,使用Amazon EKS集群则意味着容器平台配置也是客户的责任,不过CSP会为平台组件打补丁。

图4显示了与容器工作负载相关的所有安全挑战。如果客户而不是CSP负责特定层的话,安全架构师就必须了解并确定如何处理运行容器镜像的每个云服务(如 Azure Function App、Amazon EKS、Cloud Run)的每一个技术堆栈层(应用、平台、基础设施)的安全任务(加固、漏洞管理、攻击/威胁检测)。

为容器化工作负载提供安全保障

微软Defender或谷歌的安全中心等云原生安全工具是保护公共云中容器化工作负载安全的首选解决方案。这些工具可以检测容器工作负载和底层平台中的漏洞和威胁。虽然它们肯定不是免费的,但是客户只要点击一两下(或者很少几下)就可以激活,并且立竿见影地提高安全性。

Azure Function Apps是可以运行容器化工作负载的Azure 服务之一,在研究Azure Function Apps 时,微软的Defender for Cloud是最合适的产品。首先,它提供Defender Recommendations,这些建议列出了不安全的参数和配置选择,如“应该只能通过HTTPS 访问Function App”。这些建议(部分)基于CIS基准。Defender的第二大功能Attack Paths分析着眼于更广泛的环境。它能够识别利用多种非完美配置选择入侵公司云资产的攻击路径(2)。最后,Defender Security Alerts会就正在进行的、可能是攻击的活动向专家发出报警(3).

微软Defender之于Azure就像是Amazon GuardDuty之于 AWS或者Google Security Command Center之于GCP:很棒的开箱即用云原生服务,可确保(不限于)基于容器的工作负载的安全。除了这些云原生解决方案,第三方安全工具也是可行的选择。规模较大的企业应该对它们和云原生服务的功能和成本进行比较。

当首席信息安全官们要求全面覆盖所有基于云的容器工作负载时,容器安全的真正挑战就开始了。这时,安全架构师需要分别分析每个相关的云服务。在分析过程中,他们应特别关注三个问题:

此外,第三方容器安全解决方案当然也是可行的选择。不过,至少对于大型企业来说,必须将它们的功能和成本与云原生解决方案进行比较。

遏制威胁

对于 首席信息安全官们来说,容器安全的可怕现实是,容器技术已经渗透到大多数 IT 组织中。虽然首席信息安全官和首席信息官们通常都了解手头的大型Kubernetes集群,但他们不太了解很多不那么起眼但也使用容器的云服务。由于黑客的目标是找到未受保护的服务(而不是攻击受保护的服务),因此企业必须分析容器工作负载的位置,并确保所有容器的安全。

来源:至顶网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯