很多资深的安全专业人士都知道,许多甚至是大多数正在运行的容器具有高危或严重漏洞。令人更为不解的是,这些漏洞很多都已经有了可用的补丁,因此可以(但尚未)修复。但云不应该是更安全吗?
坏习惯在云上延续
把本地的信息系统迁移到云端,并不可意味着原来的工作环境或流程瞬间就得变得高效易用,安全更是如此。事实上,安全往往是人们最不想解决的问题,因为它往往会拖慢或影响业务。
以多因素身份验证(MFA)为例。太多的人都知道,或者至少听说过,信息系统的安全访问应该实施MFA。安全公司Falcon的Sysdig数据显示,48%的机构没有对root权限的账户启用MFA。此外,27%的机构使用root帐户做管理任务,这明显违反了所有的安全基准的建议。
身份和访问管理(IAM)是最关键的云安全控制之一,我们应该围绕它开发新的、云原生的流程。云团队应该创建适用于特定任务的IAM角色,禁止额外的权限,以及对使用人进行角色培训。不管怎样,启用MFA吧!
不完整的安全左移
复杂的流程转换需要时间,而且通常要分阶段进行。数据显示,48%的镜像首次漏洞扫描是在CI/CD管道中或容器注册表中进行,也就是说,在部署运行之前。
这个数据意味着许多企业已经开始“安全左移”。但另一方面,意味着更多的企业(52%)是在镜像运行时才做第一次扫描,耽误了潜在关键漏洞的发现。
部分原因是我们仍然倾向于推迟安全评估以节省时间。另一种可能的解释是,工作负载的一个子集并未包括在“左移”任务中。具体来说,许多不包含组织创建的自定义代码的第三方应用程序,都属于这一类。
这两种情况,虽然 左移”都在发生,但并不完全。最先进的团队正在使用他们的CI/CD管道测试所有工作负载的安全性,包括基础设施组件,如主机、集群、容器等的部署清单。
风险也应该左移
当我们谈论对风险的接受时,通常会认为这是最后的手段。“在这一点上我无能为力,所以我将其记录下来,然后一切交给上帝。”
然而,越早发现风险来源,就越有能力为其制定有效的缓解措施。我们可能最终仍会运行有着关键高危漏洞的容器,但如果我们积极考虑与这些漏洞相关的风险,并实施控制措施来降低风险,安全态势可能就不会那么糟糕。
当大家越来越担心软件供应链的安全性时,有必要考虑一下,那些第三方组件中有多少运行时漏洞,即使这些三方组件我们的软件可能都没有使用。
在软件交付过程的早期,识别易受攻击的依赖关系可以节省大量时间,并极大的降低风险暴露。我们无法修复所有的漏洞,但许多漏洞可以通过额外的安全控制进行管理。至少,应该记录在案,以便于查看。
容器安全能够很好集成到云原生复杂多变的环境中,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于:
在开发阶段(Dev),遵循“安全左移”原则,做到上线即安全
在运行阶段(Ops),遵循“持续监控&响应”原则,做到完全自适应
主要从安全左移和运行时安全两个阶段,在云原生的全生命周期过程中,提供原生的、融合的安全能力。
一、资产清点
可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳理业务及其复杂的关系,弥补安全与业务的鸿沟。
1.细粒度梳理关键资产
2.业务应用自动识别
3.资产实时上报
4.与风险和入侵全面关联
二、镜像扫描
镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。
1.覆盖容器全生命周期
2.全方位检测
3.镜像合规检查
4.X86、ARM 架构镜像全栈适配
三、微隔离
微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。
1.业务视角展示网络拓扑关系
2.云原生场景的隔离策略
3.适配多种网络架构
4.告警模式业务0影响
四、入侵检测
通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。
1.威胁建模适配容器环境
2.持续地监控和分析
3.威胁告警快速响应处置
4.提供多种异常处理方式
五、合规基线
构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业实施和完善容器合规规范,可实现一键自动化检测,并提供可视化基线检查结果和代码级修复建议。
1.CIS标准
2.一键自动化检测
3.基线定制开发
4.代码级修复建议
版权归原作者 德迅云安全-文琪 所有, 如有侵权,请联系我们删除。