容器安全的10层防护.docxVIP

容器安全的10层防护 =|容器之所以具有广泛的吸引力，是因为容器可以让用户轻松地将应 用程序及其所有依赖项打包到一个镜像中，无需更改即可从开发阶段进 入测试和生产阶段。使用容器，可以更容易地确保在不同环境，例如物 理服务器、虚拟机（VM）以及私有或公共云之间保持一致性，这有助于 团队更快、更方便地开发和管理应用程序。 =| 但是所有将容器作为基础设施服务的人员，可能都有这样的疑虑: 〃容器安全吗？ 〃、〃我们可以信任容器中的应用程序吗？笔者认为 确保容器安全就像保护任何正在运行的进程一样。在部署和运行容器之 前，需要考虑容器方案各层技术栈的安全性。下文将系统地介绍容器解 决方案不同层的10大安全问题，它们基本跨越了整个容器生命周期不同 阶段，也是容器安全方案的10个关键安全要素。 1 .容器主机操作系统与多租户 容器可以让开发人员用一个单元构建、推广应用程序及其依赖项。 容器还可以通过在共享主机上启用多租户应用程序部署，最大程度地利 用服务器。因此，容器使用者可以在单个主机上部署多个应用程序，根 据需要启动和关闭各个容器。与传统的虚拟化不同，容器方案不需要 hypervisor,更不需要在每个VM上单独部署操作系统。容器虚拟化的 是应用程序进程，而不是硬件，所有容器共用一个主机操作系统。 VMsApp3Containers on Bare MetalCon3 (for App3)Virtual Machine ManagerHardware VMs App3 Containers on Bare Metal Con3 (for App3) Virtual Machine Manager Hardware为了充分保护、利用这种封装和部署技术，安全团队需要确保 Hardware 容器运行在受保护的操作系统中，确保主机内核免受容器逃逸的侵 害，并确保容器各自之间的安全。 以Linux系统为例，容器本质上是具有隔离和资源限制的 Linux?进程，是一个可以在共享主机内核上运行的沙箱应用程序。 保护容器安全的方法应与保护Linux上任何正在运行的进程的方 法相同。不使用特权这一点很重要，而且仍然是一个最佳保护方案。 因此，在创建容器时授予最小权限。容器应以用户身份而不是root 用户身份运行，并且要充分利用Linux中可用的多个安全级别，包 括Linux命名空间、安全性增强Linux ( SELinux ) s Cgroup、 capabilities机制和安全计算模式(seccomp )等是可用于保护 Linux上运行的进程的五种安全性功能。 - Linux命名空间：提供了容器隔离的基础。命名空间中的进 程完全拥有自己的全局资源实例。命名空间提供了一种抽象概念， 让容器中的应用就像在独立的操作系统上运行一般。 ? SELinux :提供了附加的安全层，让容器彼此之间相互隔离， 并且与主机隔离。SELinux允许管理员对每个用户、应用程序、进 程和文件强制执行强制访问控制（MAC ）oSELinux就像一堵砖墙， 如果有人设法破坏了命名空间，SELinux会成为阻挡继续前进一堵 墙。 ? Cgroup （控制组）：限制、说明和隔离一组进程的资源使用 情况（例如，CPU、内存、磁盘I/O、网络）。使用Cgroups确保 容器不会被同一主机上的另一个容器影响。 ? Capabilities机制：可用于锁定容器中的root权限。 Capabilities模块是可以独立启用或禁用的独特特权单元。利用 Capabilities模块，可以执行诸如发送原始IP数据包或绑定到 1024以下的端口等操作。 ? 安全计算模式（seccomp ）:可以使用它来限制容器内可用 的操作。 容器内容（使用可信源） 说到安全性，容器内部的内容至关重要。一段时间以来，应用程序 和基础架构都是由现成的组件组成的。其中许多都是开源软件包，例如 Linux 操作系统、Apache Web Server. Red HatJBoss?企业应用程序 平台、PostgreSQL和Node.js。这些软件包的容器化版本现在也可以随 时使用，无需自己构建。但是，就像从外部来源下载的任何代码一样， 使用者需要知道这些软件包的原始来源、构建者以及它们内部是否存在 任何恶意代码。使用之前，必须确认以下问题答案： 容器内部的内容会损害基础架构吗？ 应用程序层中是否存在已知漏洞？ 运行时和操作系统层是否最新？ 容器多久更新一次，怎么才能知道容器更新了呢？ 首先，需要确保容器镜像使用可信来源。经过认证的容器才可以在 裸机、VM、云端运行。之后，需要对容器安全进行监控。 建议采用一些容器扫描工具，这些工具会持续更新漏洞数据库，以 确保在使用其它来源的容器镜像时，始终可以获得有关已知漏洞的最新 信