智能应用 影音
德州仪器
Automation

确保容器网安 让企业安心掌握创新开发优势

确保容器网安 让企业安心掌握创新开发优势

现今举凡Container、Kubernetes或DevOps等,皆成为软件开发领域的热门辞汇,更是企业迎向云原生应用的必备技能。但对企业来说,追求敏捷开发、快速交付固然重要,但若因而酿成网安破口,就得不偿失。

为此趋势科技将LetsTalk Online EP7主题设定为「云端工作负载和容器安全实作」,透过开发流程的演示,阐述如何搭配工具来落实网安政策,确保容器内的映像档或开源元件没有违反政策规章之虞,也确保容器权限配置并无不合理现象,以预防网安事件发生。使企业既可在新环境中保持开发优势、又能兼顾信息安全。

善用Workload Security  保护执行中的容器

趋势科技云端安全架构师任宗伟表示,容器蕴含快速启动、快速扩展、平滑扩展、执行效率佳等优点,因而受到众多企业青睐。它最基本的元素为映像档(Image),要产生Image,须先撰写Dockerfile,通常会从公开仓库(public registry)下载某个Base Image,再将企业开发的程序直接包进Base Image里,接着产生新的Image。

但曾经有黑客将带有恶意软件的Image放上公开仓库,诱使他人下载,因而酿成网安风险。此外据传有黑客眼见微服务盛行,准备攻击容器,开始撰写一些可跳脱特权容器的恶意程序,亦值得留意。

任宗伟特别准备一个Security Lab,模拟开发人员从撰写Dockerfile、制作Image、Push至Registry,直到后面Deploy的历程,点出黑客可能的攻击点。其中包含黑客针对需输入帐密的地方,采取SQL Injection手法;接着利用诸如Struts2等黑客工具,尝试锁定网站弱点进行攻击;此后尝试下达一些其他命令,以掌握更多系统信息,期望在攻破你的容器后、也把此容器变成黑客中继站。

紧接着任宗伟转换到防守方角色,将Trend Micro Cloud One Workload Security引擎安装于Docker Host,对于Runtime Container提供保护,结果证实前面提到不管是SQL Injection、Struts2种种攻击行为,都被有效防范。

检查Image与容器权限  避免发布有疑虑的服务

但有些企业对网安的期望值更高,不只想要反制已经侵门踏户的黑客,希望能够提早预防。基于此目标,任宗伟利用Trend Micro Cloud One的Container Security进行演示,展现两个预防功效。

首先当Image产生时,藉由Container Security的Smart Check功能,检查Image究竟有无问题;其次检查容器权限是否过大(如果是,容易引发穿透攻击),确认没问题、才准予将服务部署出去。

比方说,使用者可开启Smart Check的Console,检视刚被上传的Image被扫描出什麽结果,例如含有几个恶意程序、几个弱点,再进一步细看这些弱点与哪些元件相关,从而获得改善建议。

至于黑客之所以能直接存取Docker Host本身的档案,多数原因是开发人员贪图方便,将权限开到最大,此时可透过Container Security里的Admission Control模块来解决此问题,针对Policies做出调整,将特权模式、跳脱模式改成Block,且禁止把Root写到Filesystem,导致这个Deploy失效、无法部署出去。

藉由Container Security演示,足见它在网安预防上发挥显着功效。大致上来说,关于容器安全议题,Trend Micro的Cloud One一共会被用到两项产品,一是Workload Security,它是攸关工作负载、虚拟机、容器主机安全的产品,当相关引擎被装设在Host后,即可直接提供容器病毒防护,也能藉由进阶机器学习技术来侦测变种的未知病毒,并能实时防堵弱点攻击。

另一产品为Container Security,负责针对容器映像做扫描、执行启用控制策略,以及运行前防护。内含两个主要模块,一是进阶映像档扫描,另一是部署状态控制,前者可用来扫描弱点、恶意程序、法规遵循,并利用Snyk侦测原始程序码版本及漏洞,甚至提供进阶的政策扫描功能,例如检查是否含有像是私密金钥等机敏数据。

至于后者、也就是部署状态控制,便是Admission Control,可限制容器服务被Deploy时所使用的资源,凡是被察觉有权限配置失当的现象,都会及时宣告Deploy失败,但使用者可利用侦测纪录理解原因并实时修正。

任宗伟强调,容器非常方便、好用,但大家在使用上都有一些安全顾虑,因此他提出建议。第一,扫描确认所用的映像档,包含系统版本、法规及病毒侦测;第二,确认映像档内使用的开源元件皆为最新版本;第三,在DevOps自动化之下,确认部署条件符合网安要求;最后,可善用Workload Security等实用工具,针对执行阶段的容器进行防护。

如欲进一步了解Trend Micro Cloud One Container Security,请至活动网站

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: DevOps 网安