Anna艳娜
2
CISO
高级信息系统项目管理师
PMP
官方采纳
Anna艳娜2
CISO
高级信息系统项目管理师
PMP
CS 是容器安全的简称,随着互联网架构技术的演进,以容器为基础的微服务架构逐渐发展起来。容器的轻量化、高性能、高隔离性以及结合Kubernetes的编排能力使得自动化部署业务、构建大规模可伸缩弹性架构更加容易。如Google就宣称大部分内部服务都是直接建立在无虚拟化层的容器云上的,亚马逊的Serverless服务AWS Fargate和Lambda也建立在容器云上。不过,容器在普及的同时也带来了新的安全问题和需求。容器中常见的安全问题有容器镜像不安全、内核等漏洞造成的容器逃逸、容器的网络缺乏微隔离、运行时安全问题,以及安全合规问题。
常见的安全隐患有以下几个:
容器镜像不安全
容器逃逸
容器网络缺乏微隔离
运行时安全问题
安全合规问题
GQQQy
2
风险管理(专业级)RM/PL
高级信息系统项目管理师
官方采纳
GQQQy2
风险管理(专业级)RM/PL
高级信息系统项目管理师
CS 是容器安全的简称,随着互联网架构技术的演进,以容器为基础的微服务架构逐渐发展起来。容器的轻量化、高性能、高隔离性以及结合Kubernetes的编排能力使得自动化部署业务、构建大规模可伸缩弹性架构更加容易。不过,容器在普及的同时也带来了新的安全问题和需求。容器中常见的安全问题有容器镜像不安全、内核等漏洞造成的容器逃逸、容器的网络缺乏微隔离、运行时安全问题,以及安全合规问题。
容器安全问题可以从以下方面解决:
Docker自身安全性改进:在过去容器里的root用户就是主机上的root用户,如果容器受到攻击,或者容器本身含有恶意程序,在容器内就可以直接获取到主机root权限。Docker从1.10版本开始,使用UserNamespace做用户隔离,实现了容器中的root用户映射到主机上的非root用户,从而大大减轻了容器被突破的风险,因此建议尽可能使用最新版Docker。
保障镜像安全:为保障镜像安全,我们可以在私有镜像仓库安装镜像安全扫描组件,对上传的镜像进行检查,通过与CVE数据库对比,一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全,在拉取镜像时,要确保只从受信任的镜像仓库拉取,并且与镜像仓库通信一定要使用HTTPS协议。
加强内核安全和管理:宿主机内核尽量安装最新补丁;使用Capabilities划分权限,它实现了系统更细粒度的访问控制;启动容器时一般不建议开启特权模式,如需添加相应的权限可以使用–cap-add参数。
使用安全加固组件:Linux的SELinux、AppArmor、GRSecurity组件都是Docker官方推荐的安全加固组件,这三个组件可以限制一个容器对主机的内核或其他资源的访问控制,目前容器报告里的一些安全漏洞。
资源限制:在生产环境中,建议每个容器都添加相应的资源限制,这样即便应用程序有漏洞,也不会导致主机的资源被耗尽,最大限度降低了安全风险。
使用安全容器:容器有着轻便快速启动的优点,虚拟机有着安全隔离的优点,有没有一种技术可以兼顾两者的优点,做到既轻量又安全呢?答案是有的,那就是安全容器。安全容器与普通容器的主要区别在于,安全容器中的每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核,并且有虚拟机般的安全隔离性。
推荐文章
