容器數(shù)量占比
伴隨著容器的流行,它也成為黑客攻擊的對象,容器安全受到重視�。在容器安全方面,鏡像安全是保護容器安全的基礎,鏡像掃描是解決鏡像安全問題的基礎手段�����。針對鏡像風險問題,有效提升鏡像掃描能力是關鍵。
鏡像安全是基礎
1 鏡像風險不容小覷
鏡像本質(zhì)上是一個將應用程序所需的所有組件(代碼����、配置文件、庫�、環(huán)境變量等)壓縮在一起的輕量級軟件包,是容器運行的基礎。鏡像存在著諸多不安全性,比如鏡像存在安全漏洞/未打的補丁��、鏡像配置存在缺陷����、包含嵌入式惡意文件、運行了未經(jīng)驗證或不可信來源的鏡像���、鏡像構建不規(guī)范導致敏感信息暴露等�。由于鏡像風險系數(shù)較高,采取鏡像掃描措施極有必要,容器鏡像的掃描能力是推進容器安全建設的一大重要能力�����。
據(jù)研究表明,雖然很多機構已經(jīng)意識到鏡像掃描的重要性,但是通過對7天內(nèi)掃描的鏡像的通過率和失敗率進行抽樣調(diào)查,發(fā)現(xiàn)其中50%的鏡像未通過��。鏡像風險問題不容小覷,鏡像掃描不僅要做,而且要做好,這成為擺在容器應用廠商面前的一個難題。
2 鏡像掃描的核心能力
要執(zhí)行鏡像掃描,一方面可以借助鏡像倉庫自帶的漏洞掃描工具,比如Docker Hub和Quay等內(nèi)置的掃描器可以實現(xiàn)對鏡像的掃描���。但是這還遠遠不夠,對于更深層次的鏡像風險,做好深度的鏡像檢查仍然至關重要�����。
青藤在云原生安全領域已經(jīng)形成了相對成熟的解決方案:青藤蜂巢·云原生安全平臺可通過對鏡像多個階段進行持續(xù)監(jiān)控掃描,包括鏡像構建過程中掃描(可CI集成jenkins���、azure等)、鏡像倉庫中鏡像掃描���、運行時鏡像掃描,支持單鏡像掃描�����、批量鏡像選中掃描��、全部鏡像立即掃描等,具體體現(xiàn)在下述幾大能力上�����。
● 應用組件漏洞
鑒于漏洞的持續(xù)增長,需要持續(xù)監(jiān)測新產(chǎn)生的漏洞����。青藤蜂巢可以掃描鏡像中應用組件的漏洞,對二進制包進行逐層深度掃描,快速分析漏洞所影響鏡像的分布范圍,并以可視化方式展示漏洞詳細信息,包含了漏洞類型、嚴重程度�����、漏洞描述�、標簽��、檢查腳本���、修復建議等,可以更好地幫助用戶完成漏洞評估,幫助用戶查找和定位問題,為用戶漏洞修復提供指導�����。
● 木馬病毒和Webshell
青藤蜂巢的鏡像掃描功能集成了多個病毒引擎來發(fā)現(xiàn)鏡像中的惡意文件,比如二進制木馬�、病毒�、Webshell等,并提供相應惡意文件的路徑、類型以及危險識別等信息�。面對Webshell,青藤雷火引擎不依賴正則匹配,而是通過把復雜的變形和混淆回歸成等價最簡形式,然后根據(jù)AI推理發(fā)現(xiàn)Webshell中存在的可疑內(nèi)容。
● 敏感信息
鏡像掃描時可以根據(jù)配置的敏感信息規(guī)則發(fā)現(xiàn)鏡像中存在的敏感信息���、操作,如環(huán)境變量中的用戶密碼����、鏡像中的數(shù)據(jù)文件等,在進行告警的同時也可以把敏感信息作為阻斷規(guī)則,阻斷存在敏感信息的鏡像。
● 歷史行為/安全溯源
鏡像掃描的歷史記錄對后期鏡像的歷史行為追蹤和重新檢測大有益處,可查看攻擊告警名稱類型����、攻擊源信息等詳細內(nèi)容。通過溯源報告,可方便實現(xiàn)回溯攻擊過程,進而找到不明來源的或者存在問題的鏡像,溯源分析攻擊事件,分析攻擊者的攻擊入口和攻擊路徑,為更有效的制定安全防御策略提供參考���。
● 可信鏡像識別
通過設置并識別受信任的鏡像,在進行鏡像掃描時,根據(jù)受信鏡像規(guī)則判斷鏡像是否可信,從而也可以檢查出是否存在不受信任的鏡像��。
青藤解決方案
在容器整個生命周期如何保護好鏡像安全?青藤蜂巢·云原生安全平臺幫助用戶在Build����、Ship���、Run三個環(huán)節(jié),對鏡像進行持續(xù)性的掃描,幫助用戶快速定位問題并有效解決安全問題�。
青藤全生命周期鏡像掃描
1構建階段
在容器生命周期的早期階段就應該考慮到安全的影響�����。青藤建議在構建階段,要刪除不必要的庫和安裝包,對鏡像進行精簡和加固,在鏡像投入使用之前即對鏡像進行漏洞掃描,并對鏡像倉庫中的鏡像進行周期性掃描,規(guī)避潛在風險���。目前來看,數(shù)據(jù)顯示74%的客戶在容器部署前就對其容器鏡像實施安全掃描���。
構建階段鏡像掃描占比圖
2分發(fā)階段
在分發(fā)階段,要注意三點,第一要防止鏡像在傳輸過程中被篡改,比如青藤采用對鏡像添加多重簽名,在拉取鏡像時進行校驗,確保鏡像沒被篡改過,第二要對鏡像進行訪問控制,第三是要使用受信任的鏡像��。
3運行階段
在運行階段,要確保容器運行時安全配置,如對容器內(nèi)秘鑰進行管理等,在生產(chǎn)環(huán)境中確保運行時的容器不存在漏洞,如果使用了新容器,應在第一時間進行漏洞掃描�����。
結(jié)語
容器鏡像是云原生環(huán)境中各類應用的標準交付格式,鏡像安全是確保容器安全的基礎,持續(xù)進行鏡像掃描是檢查鏡像中是否存在已知漏洞的一個重要手段,對于確保鏡像安全發(fā)揮著重大作用���。青藤蜂巢·云原生安全平臺可在構建、分發(fā)和運行全生命周期內(nèi)對容器鏡像進行全方面掃描,確保容器鏡像安全����。
憑借卓越的技術表現(xiàn),青藤蜂巢·云原生平臺得到了行業(yè)的認可,屢獲重要榮譽獎項,包括榮獲中國信息通信研究院����、云計算開源產(chǎn)業(yè)聯(lián)盟聯(lián)合頒發(fā)的0001號可信云容器安全解決“先進級”測評證書,入選云原生產(chǎn)業(yè)聯(lián)盟評定的“云原生技術創(chuàng)新解決方案/產(chǎn)品”,成為安全品類唯一入選平臺等,得到了行業(yè)客戶的支持。載譽前行,青藤將繼續(xù)在云原生安全領域不斷創(chuàng)新技術,實現(xiàn)更大的跨越��。
