O que é Segurança de Contêiner do Azure?

Segurança de contêiner do Azure é a combinação da execução de varreduras de vulnerabilidade em todo o ciclo de vida do contêiner, usando apenas imagens confiáveis de registros privados, limitando os privilégios e o acesso do usuário e examinando e monitorando continuamente todas as atividades.

Segurança de Contêiner Azure

O Microsoft Azure é a segunda maior aplicação baseada em nuvem e a que mais cresce no mercado. Usado por 95% das empresas da Fortune 500, o Microsoft Azure é uma plataforma de computação em nuvem que oferece aos desenvolvedores a liberdade de criar, gerenciar e implantar aplicações em qualquer lugar. Ele oferece uma enorme variedade de serviços, incluindo Máquinas Virtuais, Internet das Coisas e Contêineres.

Os contêineres do Microsoft Azure fornecem a desenvolvedores e organizações a agilidade e a escalabilidade que eles procuram em um serviço de nuvem, juntamente com as duas infraestruturas ocupadas necessárias. No entanto, por mais benéfico que seja criar contêineres no Azure, eles não fornecem segurança integrada nativa. Cabe ao cliente garantir a segurança de seus contêineres do Azure.

Coisas a se considerar

Aqui estão algumas coisas a considerar ao proteger seus contêineres do Azure:

  • Imagens
  • Credenciais
  • Registro
  • Kernel

 

Imagens

Como acontece com qualquer contêiner, proteger imagens em contêineres do Azure é uma das etapas de segurança mais importantes que você pode realizar. Os contêineres são criados a partir de imagens armazenadas em repositórios. Cada imagem possui várias camadas de software que podem, individualmente, conter vulnerabilidades e possivelmente estar comprometidas. Ao permitir apenas imagens de contêineres aprovadas em seu ambiente de desenvolvimento, você reduz bastante a superfície de ataque de cibercriminosos. É importante ter processos e ferramentas específicos para monitorar e impedir o uso de imagens de contêiner não aprovadas.

Outra opção para controlar o fluxo de contêineres no ambiente é a assinatura ou impressão digital de imagens. Isso pode fornecer uma cadeia de custódia que permite verificar a integridade dos contêineres e as imagens dos contêineres. Antes de enviar qualquer imagem para o registro, é crucial executar uma verificação de vulnerabilidade nos contêineres como uma avaliação final após a conclusão do desenvolvimento do contêiner.

Credenciais

O princípio do mínimo privilégio é uma prática recomendada de segurança básica que também deve ser aplicada aos contêineres do Azure. Quando uma vulnerabilidade é explorada, seja por meio de imagens ou kernels, ela dá ao invasor acesso e potencialmente até privilégios a vários clusters e regiões. Garantir que os contêineres operem com os privilégios e acesso mínimos necessários para funcionar reduz a sua exposição a riscos.

Ao remover privilégios desnecessários, se um funcionário mudar de função ou deixar a empresa, você reduz a superfície de ataque do contêiner. Você também pode reduzir a superfície de ataque potencial removendo quaisquer privilégios ou processos desnecessários ou não usados do tempo de execução do contêiner.

Registro

Os contêineres do Azure são criados a partir de imagens armazenadas em um registro público ou privado. Embora a recuperação de imagens de registros públicos possa parecer mais fácil, ela não garante a segurança. Como mencionado acima, as imagens de contêineres têm várias camadas de software e cada camada pode ter vulnerabilidades específicas.

É mais provável que as imagens em um registro público tenham software malicioso anexado a elas do que aquelas em um registro privado. As imagens em registros privados têm mais probabilidade de serem escaneadas corretamente e representam menos riscos. Os registros privados são gerenciados e apresentam controles de acesso baseados em funções, fornecendo mais governança e segurança. Alguns exemplos de registros privados de imagem de contêiner incluem o Registro de Contêiner do Azure, o Docker Trusted Registry ou o projeto Harbour de código aberto da Cloud Native Computing Foundation.

Kernel

Todos os computadores são construídos em cima de peças de hardware. O kernel, um software embutido no sistema operacional, serve como uma ponte para que o hardware e o restante do sistema possam interagir. Diferentemente das máquinas virtuais, os contêineres têm tráfego de rede aberto em seus serviços, além de um kernel compartilhado. A capacidade de compartilhar o kernel do sistema operacional host é um dos maiores benefícios do contêiner; no entanto, também é uma grande fonte de preocupações de segurança.

Não há muito isolamento entre o kernel e os contêineres durante o tempo de execução, o que significa que uma vulnerabilidade localizada no kernel do sistema operacional compartilhado pode ser usada para explorar contêineres ou obter acesso a eles. Os invasores podem manipular os comportamentos de execução do sistema operacional sem injetar nenhum código malicioso, simplesmente alterando os dados do kernel na memória.

Protegendo os contêineres do Azure

Com sua portabilidade, escalabilidade e confiabilidade, não é de se admirar que a maioria das empresas recorra aos contêineres do Microsoft Azure para executar suas aplicações. Ao garantir que as verificações de vulnerabilidade sejam concluídas em todo o ciclo de vida do contêiner e que todas as atividades sejam monitoradas e registradas, você pode ficar tranquilo sabendo que seus contêineres do Azure estão seguros.