容器和微服务器如何改变安全性

原生云应用程序和基础设施需要完全不同的安全方法。请牢记下面这些最佳实践。

如今,大大小小的组织正在探索云原生软件技术的应用。“原生云(cloud-native)”是指将软件封装在被称为容器的标准化单元内的方法,将这些单元排列成彼此以接口连接的微服务器以形成应用程序,并确保运行的应用程序完全自动化,以实现更高的速度、灵活性和可扩展性。

因为这种方法从根本上改变了软件的构建、部署和运行,所以它也从根本上改变了保护软件的方式。原生云应用程序和基础设施为安全专业人员带来了几个新的挑战,他们将需要建立新的安全程序来支持组织使用原生云技术。

我们来看看这些挑战,然后我们将讨论安全小组应对这些挑战应采取的一些最佳实践。首先面临的挑战是:

· 传统的安全基础设施缺乏容器的可见性。大多数现有的基于主机和网络安全的工具无法监视或采集容器活动。这些工具被构建为保护单个操作系统或主机之间的流量,而不是在其上运行的应用程序,这导致对容器事件、系统交互和容器间流量的可见性的损失。

· 攻击面可能会迅速变化。原生云应用程序由很多被称为微服务的较小的组件组成,这些组件高度分布,必须单独审计和保护每个组件。由于这些应用程序被设计为由编排系统进行配置和扩展,因此它们的攻击面会不断变化,远远超过传统的整体式应用程序(monolithic application)。

· 分布式数据流需要持续监控。把容器和微服务设计为轻量级,并通过编程方式与彼此或外部云服务进行互连。这将在整个环境中产生大量快速移动的数据,以便不断监控攻击指标以及未经授权的数据访问或渗透。

· 检测、预防和响应必须自动化。容器产生的事件的速度和容量使当前的安全操作流程无法招架。容器的短暂的生命也使捕获、分析和确定事件的根本原因变得很困难。有效的威胁保护意味着将数据收集、过滤、关联和分析自动化,以便能够对新事件做出足够快的响应。

面对这些新挑战,安全专业人员需要建立新的安全计划,以支持其组织使用原生云技术。当然,你的安全程序应该解决原生云应用程序的整个生命周期,这可以分为两个不同的阶段:构建和部署阶段以及运行时阶段。这些阶段中的每一个阶段都有一组不同的安全因素,必须解决这些安全因素以形成一个全面的安全程序。

保护容器的构建和部署

构建和部署阶段的安全性把重点放在将控件应用于开发人员工作流程以及持续集成和部署管道(deployment pipeline),以减轻容器启动后可能出现的安全问题的风险。这些控件可以包含以下准则和最佳实践:

· 保持图像尽可能小。容器镜像是一个轻量级的可执行文件,它用于封装应用程序代码及其依赖项。将每个图像的大小限制在刚好够软件运行,这样就可以将从图像启动的每个容器的攻击面最小化。从最小的操作系统基础图像开始,如Alpine Linux可以减小图像尺寸,并使图像更容易管理。

· 扫描图像以了解已知问题。当构建图像时,应检查已知的漏洞和后门。可以扫描构成图像的每个文件系统层,并将结果与常规更新的通用漏洞和后门(Common Vulnerabilities and Exposures,CVE)数据库进行比较。然后,开发和安全团队可以在图像用于启动容器之前处理发现的漏洞。

· 数字签名图像。一旦构建了图像,就应该在部署前验证它们的完整性。有些图像格式使用被称为摘要的唯一标识符,它们可以用来检测图像内容何时发生变化。用私钥签名图像提供加密可以确保用于启动容器的每个图像都是由受信方创建的。

· 加强并限制对主机操作系统的访问。由于在主机上运行的容器共享相同的操作系统,因此确保它们以适当限制的一系列功能开始是非常重要的。这可以用内核安全功能和模块(如Seccomp,AppArmor和SELinux)来实现。

· 指定应用级分段策略。微服务之间的网络流量可以分段,以限制它们之间的连接方式。然而,这需要根据标签和选择器之类的应用程序级属性进行配置,从而抽象出处理IP地址之类的传统网络细节的复杂性。分段所提出的挑战是必须先定义限制通信的策略,而不影响作为容器的正常活动的一部分在环境内和跨环境中进行通信的能力,。

· 保护容器所使用的秘密。互相以接口连接的微服务经常交换被称为秘密的密码、令牌和密钥等敏感数据。如果这些秘密存储在图像或环境变量中,可能会意外暴露。因此,Docker和Kubernetes等多个编排平台已经集成了秘密管理,确保秘密只在需要时才将其分配给使用它们的容器。

Docker、Red Hat和CoreOS等公司的几个领先的容器平台和工具提供了部分或全部功能。从这些选项之一着手是构建和部署阶段确保强健的安全性的最简单的方法。

然而,构建和部署阶段的控件仍然不足以确保全面的安全程序。在容器开始运行之前抢占所有安全事件是不可能的,原因如下。首先,不可能一劳永逸地消除所有漏洞,新的漏洞始终会被利用。其次,声明式容器元数据和网络分段策略不能完全预测高度分布式环境中的所有合法应用程序活动。最后,运行时控件使用起来很复杂,经常会配置错误,使应用程序容易受到威胁。

在运行时保护容器

运行时阶段的安全性包括发现和停止容器运行时发生的攻击和策略违规所需的所有功能,即可见性、检测、响应和预防。安全小组需要对安全事件的根本原因进行鉴别分类、调查和确认,以便对其进行充分的补救。以下是成功运行时阶段的安全性的关键方面:

· 为持续可见性测量整个环境。能够检测攻击和违反策略的行为都始于能够实时捕获运行容器的所有活动,以提供可操作的“事实上的来源(source of truth)”。存在各种用于捕获不同类型的容器的相关数据的仪器框架。选择可以处理容器的容积和速度的关键。

· 关联分布式威胁指标。把容器设计成按资源可用性分布在计算基础设施。鉴于应用程序可能包含数百或数千个容器,攻击的指标可能会扩散到大量的主机上,这使确定与作为主动威胁的一部分相关的那些主机变得更困难。需要大规模,快速的相关性来确定是哪些指标构成特定攻击的基础。

· 分析容器和微服务行为。微服务和容器可将应用程序分解为执行特定功能并被设计为不可变的最小组件。这种做法比传统应用程序环境更容易让人理解预期行为的正常模式。与这些行为基准的偏差可能反映了恶意活动,而这可以更准确地检测威胁。

· 用机器学习增强威胁检测。在容器环境中产生的数据量和速度使常规的检测技术应接不暇。自动化和机器学习可以实现更有效的行为建模、模式识别和分类,以更高的保真度和更少的误报检测威胁。要警惕那些仅仅用机器学习来生成用于警告异常的静态白名单的解决方案,这可能会导致严重的警报噪音和疲劳。

· 拦截和阻止未经授权的容器引擎命令。发给容器引擎的命令(例如Docker)用于创建、启动和终止容器以及运行启动中的容器内的命令。这些命令可以反映对容器的攻击企图,这意味着必须禁止任何未经授权的容器。

· 将响应和取证的动作自动化。容器的短暂生命意味着它们留给事件响应和取证的可用信息极少。此外,原生云架构往往将基础设施视为不可变,自动将受影响的系统替换为新的系统,这意味着容器在调查时可能会消失。自动化可以确保快速捕获、分析和升级信息,以减轻攻击和破坏的影响。

基于容器技术和微服务架构的原生云软件正在迅速地对应用程序和基础设施进行现代化。这种范式转移迫使安全专业人员重新考虑能有效保护其组织所需的计划。当容器被构建、部署和运行时,一个全面的原生云软件安全程序解决了整个应用程序生命周期。通过使用上述指南实施程序,组织可以为容器基础设施及运行在它上面的应用程序和服务构建稳固的基础。

Wei Lien Dang是StackRox的产品副总裁,StackRox是一家为容器提供适应性威胁防护的安全公司。此前,他曾担任CoreOS的产品负责人,并担任Amazon Web Services、Splunk和Bracket Computing的安全和云基础架构的高级产品管理角色。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2017-11-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器之心

机器学习为核心,DeepMind助力谷歌开发的安卓 9「Pie」今日上线

今年 5 月份,谷歌 I/O 大会宣布推出安卓 9,而后经过数月的测试,谷歌收获了大量的反馈。此外,还有小米、Oppo 等 7 家设备制造商也将测试版本放到了他...

1011
来自专栏大数据和云计算技术

元数据概念

刘耀铭同学元数据系列作品的第一篇,大家支持! 其他元数据相关系列文章: 基于元数据驱动的ETL Hive 元数据表结构详解 1、 元数据是描述其他数据的数据(...

38911
来自专栏EAWorld

当持续集成遇上微服务:分治优于集中

大师Martin Fowler对“持续集成”是这样定义的:持续集成是一种软件开发实践,即团队开发成员经常集成他们的工作,通常每个成员每天至少集成一次,也就意味着...

2925
来自专栏水击三千

数据库设计(一) 需求分析

目前,大多数的应用系统都属于数据库应用程序,都离不开数据库的支持。数据库设计方案的优劣对于应用程序的运行至关重要。数据库设计过程就是针对具体的应用环境,设计优化...

29610
来自专栏MyBlog

软件测试方法课程笔记(1)

举某些例子, 软件测试方法有黑盒测试, 白盒测试 按阶段来区分的话有单元测试, 集成测试, 系统测试 按目的来分有性能测试等

1232
来自专栏AI科技大本营的专栏

周末大料|CMU研发数据库调优AI,水平超DBA老炮

这个周末,最不开心的应该是优秀的数据库管理员了。 这些优秀的数据库管理员(以下简称数据库管理员为DBA),原本可以靠自己的本事,享受高薪,可是,好景不长了,因为...

4076
来自专栏腾讯Bugly的专栏

《广研Android卡顿监控系统》

实现背景 应用的使用流畅度,是衡量用户体验的重要标准之一。Android 由于机型配置和系统的不同,项目复杂App场景丰富,代码多人参与迭代历史较久,代码可能会...

1K4
来自专栏数据小魔方

ggplot2又添新神器——ggthemr助你制作惊艳美图

今天在浏览ggplot扩展插件目录的时候,又发现了一款神器——ggthemr。 这是继ggplot的ggtheme包、RColorBrewer包之后(不算ggt...

3485
来自专栏大数据文摘

如何在云计算平台使用R语言编程的快速入门指南

4707
来自专栏Youngxj

[seo]分析网站关键词排名下降的五种原因!

1373

扫码关注云+社区

领取腾讯云代金券