范圍廣泛的企業(yè)工作負(fù)載和云原生應(yīng)用程序使用 Docker 容器運(yùn)行�����。因此,Docker 容器安全已成為云工作負(fù)載安全最重要的方面之一,保護(hù) Docker 容器對(duì)于想要保持強(qiáng)大安全態(tài)勢(shì)的企業(yè)來(lái)說(shuō)是必須的�����。在這里���,我們將仔細(xì)研究這個(gè)流行的容器平臺(tái)����、常見(jiàn)的 Docker 容器安全問(wèn)題、最佳實(shí)踐以及專為提高現(xiàn)代企業(yè)的容器安全性而構(gòu)建的工具�。
什么是碼頭工人���?
Docker 是一個(gè)容器平臺(tái)����,它使開(kāi)發(fā)人員和系統(tǒng)管理員能夠?qū)?yīng)用程序及其所有依賴項(xiàng)打包到一個(gè)標(biāo)準(zhǔn)化的代碼單元中���。Docker 容器允許企業(yè)在各種環(huán)境中將應(yīng)用程序作為獨(dú)立進(jìn)程運(yùn)行���,從超大規(guī)模云平臺(tái)到本地共享機(jī)器�。由于該平臺(tái)的敏捷性、易用性和可擴(kuò)展性�����,Docker 容器已成為現(xiàn)代云原生基礎(chǔ)設(shè)施的主要組成部分��。
Docker 的工作原理
Docker 的工作原理是為企業(yè)提供一個(gè)標(biāo)準(zhǔn)平臺(tái)來(lái)運(yùn)行代碼�。它將給定應(yīng)用程序所需的所有必需的二進(jìn)制文件�、庫(kù)和依賴項(xiàng)打包在一個(gè)不可變的容器映像中��。
Docker 容器鏡像可以通過(guò)稱為 Dockerfiles 的文本文件創(chuàng)建�。創(chuàng)建映像后�����,它們可以根據(jù)需要多次實(shí)例化����,以在容器引擎(如 Docker Engine 或 Podman)之上運(yùn)行工作負(fù)載作為 Docker 容器�。因?yàn)樗鼈冚p量級(jí)、快速���、易于實(shí)例化和高度可擴(kuò)展,與在虛擬機(jī)或裸機(jī)服務(wù)器上運(yùn)行的成熟操作系統(tǒng)相比�,容器更適合許多 CI\CD 工作流和云原生微服務(wù)架構(gòu)����。
Docker 容器安全
Docker 的流行也使其成為攻擊者的高價(jià)值目標(biāo)����。正如將帶有 Monero 加密貨幣礦工的惡意容器鏡像發(fā)布到 Docker Hub 等公共容器注冊(cè)表等威脅以及Docker cp 漏洞 (CVE-2018-15664)等更細(xì)微的安全問(wèn)題所證明的那樣,企業(yè)必須考慮整個(gè)常見(jiàn) Docker 生態(tài)系統(tǒng)中的威脅以確保他們的容器安全���。讓我們來(lái)看看運(yùn)行 Docker 容器的企業(yè)面臨的一些最嚴(yán)重的容器安全威脅,以及可以幫助 DevSecOps 團(tuán)隊(duì)緩解這些威脅的最佳實(shí)踐。
Docker 安全問(wèn)題
根據(jù) Docker 的說(shuō)法����,企業(yè)應(yīng)該考慮四個(gè)主要方面的 Docker 安全審查���。他們是:
- 內(nèi)核安全
- Docker 守護(hù)進(jìn)程攻擊面
- 配置挑戰(zhàn)
- 內(nèi)核強(qiáng)化功能及其對(duì) Docker 容器的影響
除了這些 Docker 安全考慮之外����,企業(yè)還必須考慮其容器映像的來(lái)源�、給定容器使用的庫(kù)和二進(jìn)制文件、已知漏洞的修補(bǔ)程序���,以及容器配置和通信的復(fù)雜性。
考慮到所有這些����,企業(yè)在評(píng)估其安全狀況時(shí)需要考慮的一些最重要的 Docker 安全問(wèn)題是:
- 不安全的容器鏡像:無(wú)論它們是配置錯(cuò)誤還是完全惡意的��,從存儲(chǔ)庫(kù)中提取和部署不安全的鏡像都可以立即降低企業(yè)安全狀況。一個(gè)典型的例子:對(duì) Docker Hub 上 400 萬(wàn)個(gè)公開(kāi)可用容器的掃描發(fā)現(xiàn)6,000 個(gè)是惡意的����,超過(guò)一半存在嚴(yán)重漏洞���。
- 攻擊面:容器中開(kāi)放的網(wǎng)絡(luò)端口�����、文件、庫(kù)和依賴項(xiàng)越多,攻擊面就越大。容器中未使用或不必要的組件不僅會(huì)增加膨脹�����,還會(huì)增加攻擊者的潛在入口點(diǎn)數(shù)量�����。
- 使用特權(quán)標(biāo)志: privileged標(biāo)志允許 Docker 容器以完全特權(quán)運(yùn)行并繞過(guò)設(shè)備 cgroup 控制器中的限制�。此標(biāo)志的使用應(yīng)僅限于一組非常狹窄的用例���。
- 主機(jī)環(huán)境的安全性:容器引擎在其上運(yùn)行的底層內(nèi)核和主機(jī)操作系統(tǒng)中的漏洞可能會(huì)使企業(yè)工作負(fù)載面臨風(fēng)險(xiǎn)�����。如果企業(yè)控制了Docker宿主機(jī)環(huán)境,宿主機(jī)環(huán)境的加固和打補(bǔ)丁是必須的。
- 容器編排安全:Kubernetes (K8s) 等編排平臺(tái)使企業(yè)能夠有效地管理和部署容器�����。因此���,K8s 安全是 Docker 容器安全的一個(gè)重要方面���。
- 容器可見(jiàn)性:可見(jiàn)性是安全的一個(gè)基本方面���。然而�����,傳統(tǒng)的監(jiān)控和安全掃描工具并不總是能夠提供對(duì)容器工作負(fù)載的精細(xì)可見(jiàn)性����。
Docker 安全最佳實(shí)踐
為了限制他們暴露于常見(jiàn)的 Docker 容器安全問(wèn)題����,企業(yè)可以遵循幾種 Docker 安全最佳實(shí)踐。除了有效的補(bǔ)丁管理和轉(zhuǎn)移安全性等基礎(chǔ)知識(shí)外,以下是一些最重要的內(nèi)容:
- 遵循最小特權(quán)原則:安全策略和配置應(yīng)確保容器和用戶只能執(zhí)行他們完成工作所需的最少功能集�。從戰(zhàn)術(shù)角度來(lái)看�����,這意味著企業(yè)應(yīng)該采取以下步驟:實(shí)施細(xì)粒度的 IAM 策略、以無(wú)根模式運(yùn)行容器��、使用最少的基礎(chǔ)容器鏡像、鎖定網(wǎng)絡(luò)層并且不暴露 Docker 守護(hù)程序套接字、限制或限制使用–privileged標(biāo)志,并盡可能使用只讀文件系統(tǒng)���。
- 只運(yùn)行受信任的容器:限制從 Docker 容器注冊(cè)表中提取的容器的使用僅限受信任和簽名(例如使用簽名標(biāo)簽和 Docker 內(nèi)容信任)圖像可以大大減少企業(yè)暴露于易受攻擊的容器圖像�。
- 應(yīng)用資源配額:資源配額限制 Docker 容器可以消耗的資源量(例如 CPU 和 RAM)。配置資源配額可以限制攻擊者在容器遭到破壞時(shí)消耗主機(jī)資源或影響其他服務(wù)的能力�����。
- 盡可能隔離容器:因?yàn)槿萜髟?Linux 環(huán)境中作為進(jìn)程運(yùn)行�,所以有多種可用的解決方案可以讓企業(yè)防止內(nèi)核逃逸并提高容器之間的邏輯隔離。對(duì)于維護(hù)自己主機(jī)環(huán)境的企業(yè)�,使用 AppArmor�、cgroups����、Linux 命名空間或 SELinux 等解決方案可以幫助保護(hù) Docker 環(huán)境。
- 主動(dòng)監(jiān)控和掃描:跨CI\CD 管道的端到端掃描和主動(dòng)監(jiān)控使企業(yè)能夠快速檢測(cè)威脅��、識(shí)別容器映像中的漏洞并快速修復(fù)問(wèn)題���。提供企業(yè)檢測(cè) Docker 容器安全問(wèn)題所需的精細(xì)可見(jiàn)性的工具是此最佳實(shí)踐的必要條件���。
網(wǎng)站資訊
解決方案
服務(wù)支持
