甚麼是容器保安?

Tball

容器保安是實施資訊保安工具與政策來確保容器內一切如預期運作的過程,包括保護基礎架構、軟件供應鏈、運作期及各程序之間的一切。

容器保安是一個持續性的程序,它應整合至全個開發流程,並應自動化以減少人手接觸點,也需要擴展至底層基建的維護及運作部份。此亦即表示要保護建構流程中的容器影像及運作期主機平台,與及應用程式層。將資訊保安融入持續交付週期中,意味著企業將降低風險,並且減少不斷擴大的受攻擊面漏洞。

保護容器時的主要憂慮是:

  • 容器主機的保安
  • 容器網絡流量
  • 容器內應用程式的保安
  • 應用程式內的惡意行為
  • 保護容器管理組件
  • 應用程式的基礎層面
  • 建構流程的完整性
主要問題示意圖

網絡保安的目標是要確保所有容器都只會按預先計劃持續運作。

了解這些在使用容器時會見到的名字:Docker®、Kubernetes®、Amazon Web Services™ (AWS) 及 Microsoft®

保護 Docker

在開始保護容器前,您需要先認識在相關技術上的主要廠商。Docker 是容器化業界的領導者,提供容器平台來建構、管理及保護應用程式。Docker 讓客戶可在任何地方部署傳統應用程式以至最新的微服務。像其他容器平台一樣,您需要確保擁有充分保護。進一步了解 Docker 容器保安

保護 Kubernetes

Kubernetes 是另一個需要認識的名字。Kubernetes 提供可攜帶及可擴展的開源平台來處理容器化工作負載及服務。雖然 Kubernetes 也提供保安功能,但您仍然需要專用的保安方案來維持安全,因為針對 Kubernetes 組群的攻擊正日益增加。進一步了解如何 保護 Kubernetes

Amazon Web Services 及容器保安

現在讓我們看看 Amazon Web Services(AWS)。AWS 了解容器的需要,能讓開發人員更快及更穩定地交付應用程式的能力。這亦是 AWS 提供 Amazon Elastic Container Service(Amazon ECS)的原因。這個可縮放的高性能容器協調服務專門支援 Docker 容器。它移除了管理虛擬機器及容器環境時的依賴性,並讓您更容易運作及延展 AWS 容器化應用程式。不過,正如前述的其他廠商一樣,要取得服務的最大效益,保安是不可或缺的。了解更多關於 AWS 容器保安

保護 Microsoft Azure Container 事件

Microsoft® Azure™ Container Instances (ACI) 這方案讓開發人員不需執行或管理底層基礎架構,就能在 Microsoft® Azure™ Public Cloud 上部署容器。您只要透過 Microsoft® Azure™ 專用網站來啟動新的容器,Microsoft 就會自動配置並擴充底層電腦資源。Azure Container Instances 提供絕佳的速度與靈活性,但需要妥善保護才能獲得所有效益。進一步了解如何保護 Microsoft Azure Container Instances

既然您已經認識了主要廠商,接下來我們來看看該如何保護他們。

保護主機

保護主機應從選擇作業系統開始。在可能情況下,您應該採用為運作容器而優化的分布式作業系統。若您使用的是 Linux® 版本或 Microsoft® Windows®,請務必停用或移除不必要的服務,並強化作業系統。之後,更需要增加一層保安及監控工具以確保主機如您預期般運作。像應用程式管控及入侵防禦系統(IPS)這類工具在此情況下將極為有用。

當您的容器在生產上運作時,它需要與其他容器及資源互動。所有網絡交通流量必須通過 IPS 進行,以確保這些內部流量被監控及防護,而這亦會改變您部署保安管控的方式。除了在周邊應用少量極大型的傳統 IPS 引擎外,您亦可在每一部主機使用 IPS,讓您可以在不嚴重影響系統效能的情況下有效監控所有流量。

保護在容器內的應用程式

當容器在生產運作後,它會持續處理應用程式的數據、產生記錄及快取檔案。保安管控可協助確保它們只是恆常活動,而非惡意行為。在容器內容上運行的實時防惡意程式管控是重要一環。

而 IPS 亦在此擔當重要角色,它提供名為虛擬補丁的功能。假如一個漏洞被在遙距利用,IPS 引擎可偵測到試圖利用漏洞的行為,並會發出封包保護您的應用程式。這為您爭取時間在容器的下一版本對應根本原因,而無須急於推出緊急修補程式。

監控您的應用程式

當您在容器部署應用程式時,一個運行期應用程式自我防護(RASP)保安管控可以對您有幫助。這些資訊保安管控通常在您的應用程式程式碼中執行,並且經常攔截或連繫程式碼內的重要請求。除了 SQL 監控、相依性檢查與修正、網址驗證及其他管控功能,運行期應用程式自我防護還能解決資訊保安的最大挑戰之一:根源辨識。

這個處於應用程式碼之內的保安管控,可以協助連繫一宗保安事故中的資料及導致事件的程式碼。此程度的警覺性可說是無可匹敵的,並會大為強化您的保安態勢。

保護您的容器管理組合

以保安而言,管理組合可以協助協調經常被忽視的容器。任何重視容器部署的機構都無可避免地需要兩個重要的基建來協助管理整個程序,包括私隱容器註冊,如 Amazon ECS 及 Kubernetes 等,以協助協調容器部署。

結合容器註冊及 Kubernetes 讓您可以在重新在環境部署之前及之中自動為容器執行一套質素及保安標準。

註冊表可簡化分享容器程序及協助團隊在其他成員的項目上進行建構。不過,要確保每個容器都達到開發及保安的最低要求,您需要一個自動化掃瞄儀。在註冊表未察覺前已掃瞄每個容器,以找出已知漏洞、惡意程式及其他被暴露的機密,以便在下游減少事故數量。

此外,您亦須確保註冊表亦得到充分保護。它應在強化的系統或有信譽的雲服務上運行。即使在使用雲服務的情況下,您仍然需要了解共享責任模式及施行強大的角色為基措施來登入註冊表。

在協調方面,一旦 Kubernetes 在您的環境內執行並部署,它就能提供許多優勢來協助您確保團隊徹底發揮環境效益。Kubernetes 也提供了許多運作與資訊保安管控的能力,例如 Pod (叢集層級資源)與網絡資訊保安政策,讓您強制實施各種選項來達致您的風險承受程度。

在安全基礎下建構應用程式:容器掃瞄

您需要準備就粹一套容器掃瞄流程,以確保用作建構板塊的容器是可靠並可防護常見威脅。此級別的工具會掃瞄容器內容,在它被用作應用程式建構板塊前尋找問題,並在容器被部署至生產前進行最後檢查。

適當實施的掃瞄將自然成為編碼程序的一部份。這是一個全自動化的程序,可在開發應用程式及其容器時簡單快速地識別任何問題。

確保建構流程的完整性

攻擊者者開始將攻擊改至持續整合/持續交付(CI/CD)流程的初期進行。假如攻擊者成功入侵您的建構伺服器、編碼庫或開發人員工仍站,他們就可以長時間逗留在您的環境內。您需要一套持續更新的強大保安管控。

從編碼庫開始至分枝政策一直擴展至容器庫,在整個流程實施強大的登入管控政策。您需要確保實行了最低權限原則(只提供與進行有關任務所需的存取權限),與及定期審核此存取權。

開發人員示意圖

哪裡可以取得容器保安的協助?

您需要全面的保安方式來保護您的容器,亦需要確保處理了機構內所有團隊的需要,與及確保您的方法可以自動化配合 DevOps 程序,能在限期前完成及在保護所有團隊的同時也可以快速交付應用程式。保安不可以再與現實脫節,或是在最後時刻出現並令機構改變工作流程。Trend Vision One™ Container Security 可讓您設定資訊保安政策與執行時期掃描規則集、監控漏洞偵測與資訊保安事件,並使用偽影掃瞄來預先掃描您的 Kubernetes 叢集。由開始即建構可靠的保安管控及自動化程序,可回應他們的擔心及更容易地縮窄團隊間的差異。

fernando

產品管理副總裁

筆

Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。

Fernando 在網絡資訊保安產業擁有超過 13 年經驗,曾帶領過多項雲端防護、DevSecOps 及人工智能防護計劃,並與全球客戶及策略合作夥伴密切合作,如 AWS、NVIDIA 和 Microsoft。此外,他還是全球知名意見領袖,經常擔任演講嘉賓,包括 AWS re:Invent 到 NVIDIA GTC 以及 Black Hat 的人工智能高峰會。

Fernando 帶領全球產品經理團隊,推動上市策略、進行市場研究,並提供創新技術來持續塑造安全、智慧雲端環境的未來。

常見問題

Expand all Hide all

容器保安的容器是什麼?

add

容器是一種虛擬化技術,可將應用程式及其相依元件 (程式碼、執行時期、系統工具、程式庫及設定) 封裝到單一可攜式裝置。

容器保安的縮寫為何?

add

容器保安最常用的縮寫名詞有常見漏洞與暴露(CVE)及持續整合/持續部署(CI/CD)。

甚麼是保護容器的最佳方式?

add

保護容器的最佳方法包括:a) 保護容器內部環境;b) 採用零信任的資訊保安方法;c) 持續監控環境。

容器保安如何運作?

add

容器保安採用各種工具和技術來保護容器化應用程式,從開發到運作期的每一步。

甚麼是容器保安的三大基本要求?

add

保護容器的三個基本步驟是:保護開發環境、保護底層主機及保護容器內的應用程式。

甚麼是 Kubernetes 防護的 4 個 C?

add

Kubernetes 容器保安的四個 C:雲端、容器、叢集及程式碼。兩者的結合,提供了一套四步驟方法來保護 Kubernetes 容器環境。

如何確保容器安全?

add

容器保安的最佳實務守則包括:保護容器主機、保護容器內的應用程式及監控運作期環境。

容器容器保安採用何種工具?

add

容器保安包含多種不同工具,包括影像掃瞄、漏洞評估工具、配置與合規工具,以及網絡與運作期工具。

甚麼是防止容器漂移的最佳方法?

add

防範偏離容器保安的最佳方法就是持續監控容器啟動與運作之後的應用程式。

甚麼是容器保安的基本概念?

add

容器保安的基本建構元件就是保護開發、保護主機、保護映像和應用程式,以及執行時期監控。