美国国家标准技术局发布应用容器安全指南
极客时间编辑部
讲述:杜力大小:1.10M时长:02:25
近日,美国国家标准技术局 NIST 发布了一项有关应用容器技术安全问题的公告。该公告先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。
容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。
这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题,安全工具和流程并不能保证容器所运行的环境绝对安全。
另外,容器使用了不可变模型,每当一个新的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更,应用开发者就必须为相应的应用生成新的镜像。
如此,将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队在这些方面拥有更多的经验,这也是一个潜在的问题。
NIST 发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。
镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥等。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。
而不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。
容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞、被攻击的主机操作系统等,而共享内核的容器会加大攻击面。
而应对措施需要从最底层开始,也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论