实现容器安全管理的最佳实践
发布时间:2022-06-22 13:39:45 所属栏目:安全 来源:互联网
导读:随着Docker、Kubernetes技术的成熟,容器也成为时下最火的开发理念之一。它是云原生概念的重要组成部分,正迅速成为云原生生态系统中部署计算和工作负载的不二选择。云原生计算基金会(CNCF)最新的云原生调查显示,96%的组织在积极使用或评估容器和Kubernetes
|
随着Docker、Kubernetes技术的成熟,容器也成为时下最火的开发理念之一。它是云原生概念的重要组成部分,正迅速成为云原生生态系统中部署计算和工作负载的不二选择。云原生计算基金会(CNCF)最新的云原生调查显示,96%的组织在积极使用或评估容器和Kubernetes。众所周知,容器作为应用的包装形式,能够以更轻量化、更小开销的方式运行,具有可移植性、一致性和效率高等优势特点,但其并非没有安全问题。 加强容器可移植性防护 虽然容器最显著的优势特点之一是可移植性,但这也是缺点。如果漏洞混入容器后分发,无异于将漏洞分发给使用该镜像的所有人,还可能将其运行的任何环境置于险境,因为它们通常在多租户架构中运行。这意味着,广泛可用和共享的容器镜像与其他问题(比如开源代码、IaC)一样令人担忧,所有这些都可能带来漏洞。此外,容器常常由外部开发人员而不是传统的IT团队构建,然后再分发给企业。在此背景下,实施最佳的安全编程和容器安全实践是一个好的开端。 使用容器镜像签名 保护容器工作负载的另一个关键活动是镜像签名。大家都熟悉美国中情局(CIA)的网络安全三要素:机密性、完整性和可用性。容器镜像签名主要是确保容器镜像的完整性。它可以确保所使用的容器镜像没有被篡改,值得信任。这可以在注册库中完成,也可以作为DevOps工作流程的一部分来完成。 在容器镜像签名方面,有几种工具可选。最值得注意的工具之一是Cosign,它支持镜像签名、验证和存储,还支持各种选项,比如硬件、密钥管理服务(KMS)、自带的公钥基础设施(PKI)等。如今,市面上也出现了无密钥签名选项,受到Chainguard等创新团队的追捧。无密钥签名实际上支持使用短期密钥的功能,这种密钥只在签名活动期间有效,与身份相关联。 为容器镜像开列软件组件清单 容器同样存在软件供应链安全问题,许多组织纷纷为容器镜像开列软件材料清单(Software Bills Of Materials,简称“SBOM”)。Anchore的Syft工具就是个典例。Syft让组织可以为容器镜像开列SBOM,作为CI/CD工作流程的一部分,帮助组织深入了解在容器生态系统中运行的软件,并随时做好准备以应对可能发生的安全事件。 除了为容器镜像开列SBOM外,企业还要做好证明,NIST在《软件供应链安全指南》中就有相应的规定。NIST要求做好向SSDF证明的工作,这要求使用SBOM。还有进一步执行SBOM的创新方案(比如Syft),使用in-toto规范支持SBOM证明。这种证明方法让签名者可以证明SBOM准确地表示容器镜像的内容。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号