APAC企业如何跟上集装箱安全性的步伐
从泰国提升到新加坡的庄园,集装箱和微服务越来越多地被亚太地区的公司采用,这些公司正在寻求加快应用程序发展并变得更加敏捷。
在上升金钱的情况下,一家以东南亚的曼谷为基础的支付技术公司,使用集装箱和微服务在六个国家的软件开发中流行并提升了其开发商的士气。
然而,对于集装箱化的所有承诺,与技术相关的建筑和实践的变化带来了一系列新的挑战和机遇。
“额外的一致性可以显着提高安全性,而另一方面,释放速度和复杂性增加可能是不减少手动劳动并重新思考传统模式的安全团队的挑战,”杰罗姆沃尔特,现场首席信息关键亚太和日本的安全官员。
传统的安全模型已经使用了安全产品的层来弥补IT系统的问题,导致灰食发展的紧张局势和较慢的过程。替代方法侧重于结果并利用技术工具和实践来实现它们。
自动化是在连续交付世界中维护安全的关键。即使作为集装箱平台让开发人员专注于客户需求并更快地生产代码,安全团队现在正在为开发人员而不是周围的工具提供相同的平台,建设和自动化安全功能和控制。
这是一个至关重要的是,随着集装箱基础设施的自动化和规模可以放大来自广泛使用的集装箱图像和公共集装箱存储库的供应链攻击的影响 - 如果脆弱性管理实践不断占上风。
2019年4月,世界上最大的集装箱图片图书馆和社区的Docker Hub被黑客攻击,揭露了大约190,000个用户的用户名,散列密码和Gitbucket访问令牌 - 或Docker客户群的5%。
Nilesh Jain,东南亚和印度潮流科技阶层,虽然黑客的规模并不大规模,但由于世界上一些最大的公司使用,包括PayPal,Visa和glaxosmithkline。
此外,肯纳安全的2019年项目透露,来自Docker Hub的许多最受欢迎的容器图像包含某种类型的漏洞。
“超过20%的容器具有至少一个漏洞被认为是高风险的漏洞,”Jain说,该名单上最古老的容器有150万拉,是431多个公开脆弱性的所在地。在Keyvanfatehi / Sinopia集装箱中发现了最多的漏洞 - 总共超过2,000次,该容器被拉了约170万次。
强调了保护码头主机和容器的重要性,jain建议企业将虚拟修补程序应用于新发现的漏洞。此外,Docker主机 - 以及容器内使用的文件系统的实时恶意软件检测 - 也是必不可少的,可以确保这些容器的长期安全性。
但威胁检测和漏洞修补只是容器安全的几个方面的一部分。在技术简介中,Red Hat详细说明了它称之为“10层容器安全”。
Red Hat Asia-Pacific的应用程序平台产品的区域产品管理总监Vishal Ghariwala表示,这些层 - 从主机操作系统到网络,存储和应用程序编程接口(API)授予容器化应用程序的访问 - 是保护容器所必需的全面地。
根据Ghariwala的说法,Red Hat模型中的容器主机的安全性是最重要的,它是最重要的,“因为如果有漏洞,整个容器管理平台将受到损害”。
容器安全的接下来的两个方面是关于使用值得信赖的来源和注册管理机构,这也是Pivotal沃尔特强调的一点。“在将它们推入生产之前,集装箱平台将内置图像存储到注册表中。如果注册表受到损害,它将允许攻击者修改部署在生产中的图像。因此,严格控制登记处至关重要,“沃尔特说。
Red Hat目前运行一个集装箱目录,为各种中间件,数据库和语言运行时提供认证容器图像。“如果在Node.js中发言,请在Node.js中发言,Red Hat的所有Node.js容器都将自动重建所有新的安全修复程序,”Ghariwala表示。
在注册表方面,开源Juggernaut已经建立了严格的控件,管理在其OpenShift集装箱平台上访问容器注册表。当开发人员构建图像时,还有一组策略和进程,包括漏洞扫描,必须在注册表中可用的图像之前应用。
根据Ghariwala的说法,管理跨越连续集成,连续交付(CI / CD)管道的构建过程也是绍出安全漏洞的关键。使用Black Duck Hub和Jfrog X射线等扫描仪实时检查已知的漏洞,开发人员可以识别安全漏洞并在基础架构,中间件和应用程序级别重建容器图像,如果需要。
当涉及容器部署时,有必要控制可以在群集中部署的内容。“一个例子可以阻止需要从未写入的代码所产生的root访问的容器,以便部署,”Ghariwala说。
Pivotal的沃尔特指出,虽然有充分托管的容器编排平台将减少对托管或其他容器的安全风险,但仍然有常见的是,看看命名空间和文件系统的不当分离。
他指出,特权容器是另一个问题,因为容器的管理员可以有效地在主机上获得权限。“类似地,在共享平面网络上托管所有集装箱化应用程序会使横向移动的风险从一个受到影响的应用程序增加到另一个。
“安全团队应确保使用中的网络层限制流量,并且只允许应用程序根据声明的业务逻辑彼此互动,”沃尔特说。
最后,由于企业部署了更多集装箱化应用程序,API管理将是管理和验证API调用的核心,以保持流量流畅地流动,以及支持Web单点登录(SSO)。
在联合部署模型中,Red Hat的Ghariwala表示API管理,以及授权和身份验证功能,将确保多个公共云和内部部署数据中心的安全性和访问控件相同。
但是,容器和单片应用程序将继续为可预见的未来共存,而且大多数公司今天有应用现代化策略,以重新定位,重新平台或重新托管其申请组合。
为了管理用集装箱和遗留应用程序点缀的环境中的安全性,常见的方法是拥抱两速它:长期服务器的传统安全政策和控制,以及更加动态的持续审计和验证,对不可变和短暂的工作量进行持续审计和验证。
“这种方法提供了在每个生态系统中使用适当做法的益处,并避免与未建造的传统政策进行减慢创新,以跟上容器的动态性质,”沃尔特说。
但是,根据沃尔特,这将是一个经常错过的机会,不利用容器的不变,动态和短暂性,以保护现有的整体服务器。
“从用户使用用户使用的重构关键函数从用户设备(通常是妥协源)屏蔽了难以解决的应用程序。
“这种方法通过减少改变单片后端应用的需要并降低常常阻止未经授权的活动的噪声来减轻持续攻击的风险。”