让容器安全性更上一层楼-blackducksoftware.pdfVIP

标题文本 子文本 让容器安全性 更上一层楼 安全专业人员如何才能保 护容器中的代码完整性 执行摘要 “容器技术是又一项重大突破，它持续推动了开发敏捷性的提升，并且能 加快产品上市。速度和敏捷性是企业采用容器的关键推动力，但前提是不 牺牲安全性。” - Lou Shipley，黑鸭子软件公司首席执行官 容器技术已掀起了一股开源生态系统的热潮，提供了一种高效的方式， 为在共享服务器资源内运行的应用程序创造了紧凑、可移植的环境。 但是，建议企业在采用这种方法来实施操作系统级的虚拟化之前采取预防 措施。许多手段都能利用容器技术所特有的安全性风险。漏洞会很快从共 享服务器内核扩散到驻留在服务器上的众多容器。不可信代码可利用系统 中的漏洞，在最糟的情况下，甚至会将私密、敏感的信息暴露给黑客。 受到法规监管的企业无力承受安全责任和可能的处罚，包括因数据完整性 攻击所带来的财务损失和丧失客户信任。 本文剖析了围绕容器使用的安全性问题，并详述了安全专业人员如何才能 制定措施来化解容器使用中的风险并保护代码的完整性。 解决挑战 要化解容器特有的安全性风险，需要悉心规划、保持警惕，并需要一项专门为降低风险而设 计的有效解决方案。挑战分为两个层面： • 识别可能会危害容器使用的不可信代码 • 实施补救来纠正所发现的漏洞问题 容器技术的其中一个优势就是部署模型与生俱来的紧凑性，而这得益于相互共享服务器上的 关键资源，包括操作系统，以及（在许多情况下）存储箱(Bin)和存储库(Library)。结果是显 著减小了部署所测应用程序的空间。然而，极其重要的是，这一特性还令恶意代码无法污染 共享资源。如图1中所示，虚拟机和容器都具有独立的结构，但只有容器会共享关键资源。 通过设计，许多重要的容器技术都需要根访问权限才能操作。例如，当应用程序和容器与 Docker （领先的容器技术之一）一起使用时，Docker守护程序需要根特权。即使当限制 只有“可信用户”才能使用Docker时，也可使用Docker守护程序或通过内置在可能将潜在 漏洞暴露给黑客的表述性状态转移(REST)模型中的应用程序来利用潜在的途径。1 最终， 安全风险得以降低，从而确保容器中的软件非常干净，不含恶意代码。 2 容器的假定安全缺陷通常关乎如何制 定和管理会影响容器与主机之间交互的 政策。P a r a l l e l s 首席技术官J a m e s Bottomley说，“当你对应用程序进行容器 化时，仍然必须依赖操作系统服务。在这 类容器化中，操作系统通常在主机虚拟化 环境中运行，同时应用程序位于来宾机的容 器中。如果政策的来源不正确，那么这个允 许将来宾机容器调入到主机操作系统环境的 边界，恰恰会是出现安全问题的地方。”2 随着企业级应用程序中越来越多地使用开源 代码，只有那些旨在为构建容器映像的开发团队提供代码的存储库是可信的，那么它们才是 安全的。就像对待从互联网随机下载的内容一样（应始终假定每项下载内容中都可能已被某 些人在代码中嵌入了恶意元素），应同样谨慎地对待存储库中的文件和映像。 “对于任何新的技术概念来说，安全似乎总是后知后觉，容器也不 例外。它刚开始是一个火热的好创意，但直到它发展到临界点并获 得主流受众采用后，安全问题才受到关注。随着受到高度监管的行 业中的大型公司或组织力求追赶容器技术的潮流，安全性成为了必 不可少的考虑要素。”3 - Tony Bradley，《Container Journal》编辑 降低漏洞风险 对于安全来说，开源代码的可见性至关重要，因此在部署之前，您应监视并彻底扫描开发 中的每个容器。据BanyonOps称，在分布在官方Docker存储库的容器中，30%含有高优先 级的安全漏洞，包括易于遭受Heartbleed和Shellshock攻击。4 容器技术（例如由Docker、 Solaris Containers和CoreOS Rocket提供的解决方案）能够为云系统管理带来巨大的价值， 但只有在安全需求得到充分满足后，您才能利用这种价值。 1 /article/2919939/security0/for-containers-security-is-problem-1.