Sikkerhet i containerbaserte miljøer (DevOps): En dyptgående analyse
Containere i DevOps er ikke et nytt fenomen. De fungerer som virtuelle testmiljøer, der alle nødvendige ressurser for å kjøre mikrotjenester, inkludert større applikasjoner, er samlet.
Tenk på containere som pakkesystemer. De lar deg som utvikler lagre alle komponenter som er nødvendige for å starte en applikasjon, som runtime-miljøer og binærkode, fra en sentral lokasjon.
Containere forenkler overføringen av applikasjoner mellom ulike miljøer (for eksempel fra en lokal maskin til et virtuelt miljø, eller fra utviklings- til produksjonsmiljø). Dette eliminerer problemer som oppstår på grunn av varierende programvare- og konfigurasjonsinnstillinger hos utviklere og i produksjon.
En rapport fra Statista viser at 50 % av verdens organisasjoner benytter seg av containerorkestrering. Selv om populariteten til denne teknologien har økt på grunn av fordelene, kan containere også utgjøre en risiko for cyberangrep hvis de ikke er tilstrekkelig sikret.
CVE Details, en database for sikkerhetssårbarheter, har registrert 62 Docker-relaterte sårbarheter per dags dato. Dette understreker behovet for å implementere beste praksis for å håndtere potensielle fallgruver og sikre containere for å oppnå vellykkede DevOps-prosesser.
Denne artikkelen utforsker containersikkerhet, belyser sentrale utfordringer og gir veiledning om beste praksis for bruk av containerteknologi.
Hva er egentlig containersikkerhet?
Containersikkerhet er en kontinuerlig prosess som innebærer bruk av sikkerhetsprotokoller (verktøy og retningslinjer) for å beskytte containere og deres miljøer mot potensielle trusler.
Uten tilstrekkelige sikkerhetstiltak kan trusler skade applikasjonen, infrastrukturen, runtime-miljøet, systembiblioteker, operativsystemet og selve kjernen.
Containere er ofte kortlevde og designet for dynamiske distribusjoner og skalering. Derfor er automatisert sikkerhet nødvendig gjennom hele programvareutviklingslivssyklusen (SDLC).
Les også: Introduksjon til Kubernetes Kops for nybegynnere
Hvilke utfordringer finnes innen containersikkerhet?
Containere har mange fordeler, som å øke hastigheten på programvarelevering, men de er ikke immune mot utfordringer, spesielt med tanke på sikkerhet. De mangler iboende sikkerhetsmekanismer.
Dette skyldes at containere aksesserer maskinvare via et vertsbasert operativsystem. En enkelt container kan ha flere underliggende containerbilder, noe som gir flere mulige angrepspunkter.
En av de største utfordringene er feil konfigurasjon. Utviklere kan glemme å tilpasse standard containerkonfigurasjoner, noe som kan resultere i usikre porter, lekkede legitimasjonsdata og overdreven tilgang til containerruntimes (for eksempel ved å kjøre som root). Disse standardinnstillingene kan åpne døren for angrep.
En annen utfordring er sårbarheter i selve containerinfrastrukturen. Pakker som er innebygd i containeren, inkludert applikasjonskode, biblioteker og konfigurasjonsfiler, eller komponenter i vertsoperativsystemet, kan være sårbare. Sårbarheter kan introduseres i alle stadier av en applikasjons livssyklus, fra eksterne avhengigheter som bygges inn i et containerbilde til tredjeparts containerregistre.
Synlighet i containerarbeidsmengder er også et stort problem. Containere er dynamiske, noe som gjør det vanskelig for overvåkingsverktøy å finne ut hvilke containere som kjører og inspisere deres nettverksatferd. Bedre synlighet forebygger sikkerhetsbrudd og reduserer responstid.
I tillegg er containeren sårbar hvis noen fase av CI/CD-pipelinen er usikker. Det er viktig å sikre alle faser i utviklingen, ikke bare på slutten av livssyklusen.
Hvilke verktøy kan løse utfordringene innen containersikkerhet?
For å sikre distribuerte bedriftsløsninger, er det viktig å implementere containersikkerhet ved hjelp av sikkerhetsverktøy. Disse verktøyene skanner etter sårbarheter og overvåker kontinuerlig for angrep, feil eller andre problemer.
Uavhengig av om du bruker åpen kildekode-verktøy eller kommersielle løsninger, tjener de samme formål. De analyserer containerinfrastrukturen og identifiserer vanlige sårbarheter.
Noen verktøy som kan prøves er: Pingsafe Editors Choice, Datadog Cloud SIEM, Anchore, Sophos Cloud-Native Security, Bitdefender GravityZone, Sysdig secure, Aqua Security og RedHat Advanced Cluster Security for Kubernetes.
Les også: 11 containersikkerhetsskannere for å finne sårbarheter
Beste praksis for containersikkerhet
Til tross for de nevnte utfordringene, er det viktig å implementere beste praksis for å optimalisere containersikkerheten i alle faser av applikasjonens livssyklus.
Sikring av dine containerbilder
Containerbilder brukes til å opprette containere. Feilkonfigurasjon eller skadelige handlinger kan føre til sårbarheter i produksjonsmiljøet. Du kan motvirke dette ved å:
- Bruke pålitelige bilder: Når du ikke lager bilder fra bunnen av, er det viktig å velge bilder fra pålitelige kilder. Offentlige depoter som Docker Hub kan inneholde bilder med skadelig programvare eller feilkonfigurasjoner.
- Inkludér kun nødvendige komponenter: Fjern alle unødvendige komponenter fra containerbildet. For eksempel finnes det naturligvis «awk» og «sed» binærfiler i UNIX-systemer, disse kan fjernes om de ikke er nødvendig.
- Inkluder applikasjonen i containerbildet: Et containerbilde knyttes til en del av operativsystemet og applikasjonen som kjører. Hvert verktøy eller bibliotek som trekkes inn i containeren, representerer en potensiell trussel. Det er best å inkludere applikasjonen i containerbildet som en statisk kompilert binær med alle nødvendige avhengigheter.
Automatisering av skanninger for sårbarhet og administrasjon
Regelmessig sårbarhetsskanning og administrasjon av containeren og vertene hjelper til med å oppdage sårbarheter i alle faser av applikasjonens livssyklus.
Du kan ta i bruk kodeskanning for å oppdage feil og statisk applikasjonssikkerhetstesting (SAST) for å finne sårbarheter i applikasjonskoden. En programvaresammensetningsanalyse (SCA) gir innsyn i programvarekomponenter med åpen kildekode, og sammenligner disse med dokumenterte sårbarheter.
Bildeskanning analyserer innholdet og oppbyggingsprosessen av containerbilder for sårbarheter. Verktøy som Clair kan brukes for å skanne etter kjente sårbarheter. Dynamisk applikasjonssikkerhetstesting (DAST) identifiserer sikkerhetsrisikoer basert på containeratferd. DAST-verktøy kan også utføre vertsskanning for å analysere verts-komponenter (vertskjernen og OS) for feilkonfigurasjoner.
Det er også viktig å implementere en «shift left»-filosofi, der sikkerhet implementeres fra begynnelsen av utviklingslivssyklusen. Trivy er et godt verktøy for denne tilnærmingen.
Sikring av containerregistre
Containerregistre er en sentralisert måte å lagre og distribuere bilder på. Mange organisasjoner har tusenvis av bilder lagret i offentlige eller private registre. Det er viktig å implementere tiltak for å sikre at alle teammedlemmer bruker sårbarhetsfrie bilder.
Implementering av brukerstyring for private registre fastsetter hvem som har tilgang til å publisere og aksessere bilder. Dette hindrer uautoriserte personer fra å endre eller slette bilder. Det er også viktig å signere bildene for å knytte hvert bilde til den som signerte det. Du kan bruke Docker Content Trust for å legge til digitale signaturer. Kontinuerlig skanning av bilder hjelper også med å oppdage kritiske sårbarheter.
Overvåking av containere
Overvåkingsverktøy øker synligheten til containerarbeidsbelastninger. Verktøyene bør overvåke og teste for sårbarheter i alle komponenter og muliggjøre sanntidslogging for containerbaserte miljøer.
Overvåkingsverktøy oppdager trusler ved å overvåke data og logger fra alle komponentene i containerstacken og analysere dem for uregelmessigheter. Dette gjør det mulig å rette opp feilkonfigurasjoner raskt.
For å samle inn ressursbruksdata, bruk verktøy som cAdvisor eller kube-state-metrics. Verktøy som Grafana eller Prometheus kan overvåke containernes aktivitet og klyngenes ytelse. Wireshark eller tcpdump kan analysere nettverkstrafikk mellom containere. Om du bruker administrerte Kubernetes-tjenester som (AKS) kan du bruke Azure Monitor. Azure Log Analytics kan samle inn og analysere AKS-ressurser. For Amazon EKS kan Amazon CloudTrail logge og se hendelser og Amazon Cloud Watch kan brukes for overvåking.
Implementering av nettverkssikkerhet
Nettverkssegmentering, som isolerer containere og begrenser tilgangen til nødvendige tjenester, er et viktig sikkerhetstiltak. For Kubernetes kan du bruke K8s nettverkspolicyer for å konfigurere innkommende og utgående pod-trafikk i klynger. Dette begrenser igjen trafikken til spesifikke pods basert på merkelapper.
Transportlagsikkerhet (TLS) kan utvides for pod-kommunikasjon. Velg TLS eller SSL for sikker kommunikasjon mellom API-serveren og andre komponenter. Lastbalansere kan også begrense trafikk inn i klyngene. For mikrotjenester kan du bruke tjenestemesh-verktøy som Meshery eller Linkerd. Hvis du bruker en skyleverandør for å hoste klynger, sørg for å sikre nettverket. For Azure Kubernetes Service (AKS), bruk nettverkssikkerhetsgrupper (NSGer), og for Amazon Elastic Kubernetes Service (EKS), bruk Amazon Virtual Private Cloud (VPC) sikkerhetsgrupper.
Redusere angrepsflaten
Å minimere angrepsflaten øker hastigheten på tjenesten og reduserer potensialet for sikkerhetsbrudd. Ved å bruke flertrinnsbygging, kan du lage lette bilder med redusert angrepsflate, forbedret oppstartstid og ytelse. For Linux kan du bruke Alpine Linux, BusyBox eller Tiny Core Linux. For Ubuntu er det Ubuntu Minimal, eller du kan bruke Scratch, et spesielt Docker-bilde for å bygge minimalistiske bilder.
Begrensning av containerprivilegier
Her er prinsippet å gi minimumstillatelser for å utføre en gitt oppgave. Hvis containere kjøres som root, gir det en bruker ulike operasjonsprivilegier. Angripere kan potensielt utnytte eskalering av makt til containerens kjøretid om de blir kompromittert. Du kan kjøre containere i rotløs modus eller begrense LINUX-kjernens evner til det som er nødvendig for containerens arbeidsbelastning.
Håndtere hemmeligheter trygt
Konfigurasjonsfiler for container og docker bør være fri for hemmeligheter. Hemmeligheter inkluderer sertifikater, passord, API-nøkler og tokens. Ofte kan disse hemmelighetene være hardkodet inn i byggeprosessen eller i kildekodebilder. Dette resulterer i at sensitive data havner i containere og bufres i mellomliggende containerlag. Den beste måten å håndtere dette på er å implementere en hemmelighetsadministrasjonsløsning som AWS Secrets Manager og Vault.
Styrke teamet ditt
Det er viktig å lære teamet ditt om de beste sikkerhetspraksisene, slik at alle kan identifisere og svare på sikkerhetstrusler. Du kan inkludere containersikkerhet i teamets onboardingsprosesser og tilby kontinuerlig opplæring og sikkerhetsvurderinger for å oppdatere teamet om de nyeste sikkerhetstrendene.
Konkluderende tanker
Containersikkerhet er en kritisk og kontinuerlig prosess i programvareutviklingslivssyklusen. Det beste er å inkludere sikkerhet fra applikasjonskoden til containerens runtime-miljø, vertsoperativsystem og den underliggende nettverksinfrastrukturen.
Følg en strategisk plan som innebærer verifikasjon av containere, og bruk kun de fra pålitelige kilder. Utfør containerherding og sørg for at containerene kun har de nødvendige tjenestene. Implementer loggingsmetoder og bruk overvåkingsverktøy, og segmenter nettverket slik at containerne er adskilt fra den generelle infrastrukturen.
Signer alltid bildene dine for å validere inndata og utdata. I tillegg bør du ha regelmessige skanninger og penetrasjonstester for å se etter sårbarheter. Hold deg alltid oppdatert med den nyeste sikkerhetspraksisen.
Neste skritt er å se på hvordan du kan automatisere sikkerhet.