电子商务的网站案例,app开发哪家强,怎么建自己的网站?,seo服务外包公司运行在云平台上的容器产品#xff0c;因为具备一个完整的可移植应用程序环境#xff0c;能够帮助用户轻松地完成对应用程序的开关控制#xff0c;提升应用程序的敏捷性#xff0c;同时节约企业的IT建设成本。在巨大优势作用下#xff0c;容器产品的采用率在2021年达到了新… 运行在云平台上的容器产品因为具备一个完整的可移植应用程序环境能够帮助用户轻松地完成对应用程序的开关控制提升应用程序的敏捷性同时节约企业的IT建设成本。在巨大优势作用下容器产品的采用率在2021年达到了新高容器编排引擎工具的使用也不断攀升。与此同时容器也面临更大的安全风险。
常见容器安全风险
据Red Hat公司调查数据显示有94%的受访者在过去12个月内遭遇过Kubernetes安全事件。而Akamai日前也进行了一项实验将一个简单的Docker容器蜜罐用于攻击测试结果显示该容器在24小时内被攻击者用于四起不同的犯罪活动这些攻击的目的各不相同一起攻击试图使用容器作为代理以访问数据流或其他服务另一起企图让目标感染僵尸网络还有一起执行加密货币挖掘最后一起是通过容器针对居家办公用户实施诈骗。
研究发现牟利仍是网络犯罪分子攻击容器的主要动机。不法分子企图访问随后可以牟利的资源或数据。CPU时间和带宽等资源可以出售给其他犯罪分子用于地下服务甚至直接用于挖掘加密货币这些动机在使用容器的环境中大量存在。
风险一错误配置
影响容器安全的因素有很多但配置错误是最常见的原因。Gartner近期的一项分析显示到2025年99%以上云安全事件的根源将是用户配置错误或配置不当造成的。
容器常常大批量部署在非常动态的环境中访问、网络及其他设置一旦出现错误配置就会给网络犯罪份子留下可乘之机。另外很多公司在配置容器时通常会选择默认配置设置不能充分利用更精细化的配置功能配置错误或采用安全性远不如自定义设置的默认配置方案都可能造成安全问题。配置错误的问题不仅局限于容器本身容器编排引擎工具的配置错误也需关注。
风险二镜像感染
除了错误配置外被感染的镜像是容器面临的另一大风险。镜像由开源存储库提供是随带的可执行代码的预制静态文件可以在计算系统上创建容器方便用户部署。攻击者会通过植入恶意软件或将挖矿软件预先安装在镜像中来破坏容器用户在部署了这些镜像之后攻击者就可以通过恶意软件来访问受害者的资源。
这种攻击事件已经发生了多起。例如2020年Containerd运行过程中曝出存在工具漏洞该工具用于管理主机系统的整个容器生命周期。这个漏洞CVE-2020-15157存在于容器镜像拉取过程中攻击者通过构建专用的容器镜像成功实施了攻击活动。
风险三漏洞攻击
此外影响容器安全的另一个因素是漏洞。2021年研究人员曾发现了多个容器漏洞这些漏洞可以让攻击者渗入到公有云的多租户容器即服务产品当中。虽然云供应商投入了大量资金来保护云平台但未知的零日漏洞层出不穷容器所面临的漏洞安全风险始终存在。
容器安全防御的最佳实践
鉴于当前普遍应用的容器环境企业需要具备数据分析能力发现容器环境下的异常行为以下梳理总结了容器安全防护中采用的有效实践经验供大家参考
•确保集群基础架构的补丁程序能够及时更新
•定期修改容器运行参数避免默认配置
•使用强密码并定期进行密码和权限的变更
•避免将特权服务账户的令牌发送到API服务器以外的任何方防止攻击者伪装成令牌所有者
•启用“BoundServiceAccountTokenVolume”功能尽量减小令牌被盗的影响
•部署策略执行器以监控和防止容器集群内的可疑活动尤其是查询SelfSubjectAccessReview或SelfSubjectRulesReview API以获得许可的服务账户或节点
•从信誉良好的来源拉取容器镜像存储在安全存储库中用信任证书加以标记和签名将过时的版本从镜像存储库移除
•评估编排系统的最低权限配置确保持续集成/持续交付CI/CD中的移动得到验证、记录和监控
•全方位了解云应用程序环境以及传统IT基础架构的风险
•部署数据分析工具和可以对分析结果做出反应的自动化操作手册
•为安全运营人员及时提供容器运行数据以便他们及时对告警信息进行处置
•在容器的出口处部署数据泄露防护措施。
