甚麼是 Azure 容器保安?

Azure 容器保安利用來自私有記錄、有限權限及限制用戶存取的可靠影像在整個容器生命週期中執行漏洞掃瞄,並對所有活動持續進行掃瞄及監控。

Azure 容器保安

Microsoft Azure 是市面上增長最快且排名第二大的雲端應用程式。95% 的 Fortune 500 公司都在使用 Microsoft Azure。它是一個雲端運算平台,讓開發人員可自由建構、管理及在任何地方部署應用程式。它提供大量不同的服務,包括虛擬機器、物聯網及容器。

Microsoft Azure 容器為開發人員及機構提供雲服務和兩個基礎架構所需的靈活性及可擴展性。不過,雖然在 Azure 上建構容器有其好處,但它並未提供原生整合的保安功能。因此用戶必須自行確保 Azure 容器上的保安。

要考慮的事項

以下為保護您的 Azure 容器時要考慮的事項:

  • 影像
  • 憑證
  • 記錄
  • 內核

影像

像其他容器一樣,保護 Azure 容器影像是最重要的防護步驟之一。容器是由儲存在儲藏庫的影像所建成的。每個影像都有多重軟件層,可以單獨地包含漏洞及極易被入侵。透過只容許經核准的容器影像進入開發環境,您可以大幅縮小網絡歹徒攻擊的攻擊面。最重要是擁有清晰程序,與及配備可監控及防止使用非核准容器影像的工具。

另一個控制影像流向容器環境的選項就是影像簽署或指模。這提供一連串扣留行動,讓您可以確認容器及容器影像的完整性。在將任何影像推進記錄前,必須先在容器上進行漏洞掃瞄,以作為容器開發程序完成前的最後一次評估。

憑證

最低權限是保安最佳實務守則的基本原則,而這亦須應用在 Azure 容器上。無論是影像或內核,攻擊者可利用漏洞進入甚至取得一些群組及區域的權限。確保容器以能夠完成工作的最低權限及進入許可來運作,可減低暴露的風險。

在員工轉換職位或離開公司後,馬上移除任何不必要的權限,可縮小容器的攻擊面。您亦可移除容器運作期間任何不必要或未被使用的權限或程序,進一步縮小可能的攻擊面。

記錄

Azure 容器是由儲存在公共或私有記錄中的影像架構而成。雖然從公共記錄中回收影像看來較容易,但安全卻得不到保證。正如前述,容器影像由多層軟件構成,每一層都可能出現漏洞。

在公共記錄上的影像比私有記錄的更有可能包含惡意程式。在私有記錄上的影像被正確地掃瞄的機會較大,所以風險較低。私有記錄設有角色為基登入管制,提供更大管治及保安。私有容器影像的例子包括 Azure Container Registry、Docker Trusted Registry 或來自 Cloud Native Computing Foundation 的開放源碼 Harbor project。

內核

所有電腦都由硬件架構而成。內核是內嵌於作業系統內的軟件,是令硬件及系統其他部份互動的橋樑。與虛擬機器不同,容器容許網絡流量貫通其服務及共享的內核。共享主機作業系統內核是容器的其中一項最大優勢,不過,這亦帶來一個重大的保安顧慮。

在運作期間,內核及容器之間並沒有太大的隔離,這表示在共享作業系統內核中的漏洞可能被利用來入侵或進入容器。攻擊者只須更改記憶體內的內核資料,無須注入惡意程式碼就可以操縱作業系統的運作。

保護 Azure 容器

Microsoft Azure 容器的可攜性、擴展能力及可靠性令大部份企業轉投其懷抱。在容器整個生命週期都進行漏洞掃瞄,與及監控和記錄所有活動,讓您確保 Azure 容器的安全。

相關研究

相關資料