20世纪初更强大的处理器的出现开启了计算革命,导致了我们现在所说的云。单个硬件实例能够同时运行几十个甚至数百个虚拟机,企业可以为用户提供多种服务和应用程序,否则这些服务和应用程序在经济上是不切实际的,如果不是不可能的话。
但是虚拟机有几个缺点。通常,整个虚拟化操作系统对许多应用程序来说是矫枉过正的,尽管虚拟机比裸机服务器更具延展性、可扩展性和敏捷性,但虚拟机仍然需要更多的内存和处理能力,并且不如这类技术的下一个演进——容器——灵活。除了更容易扩展(根据需求向上或向下)之外,容器化应用程序只包含应用程序及其支持依赖项的必要部分。因此,基于微服务的应用程序往往更轻,更容易配置。
虚拟机表现出影响其裸机对应物的相同安全问题,在某种程度上,容器安全问题反映了其组成部分的安全问题:上游应用程序特定版本中的mySQLbug也会影响容器化版本。关于虚拟机、裸机安装和容器,网络安全问题和活动非常相似。但是容器部署及其工具给那些负责运行应用程序和服务的人带来了特定的安全挑战,无论是手动将应用程序与选择的容器拼凑在一起,还是在大规模编排的生产环境中运行。
特定于容器的安全风险
- 错误配置:复杂的应用程序由多个容器组成,错误配置——通常. yaml文件中只有一行——可能会授予不必要的权限并增加攻击面。例如,尽管攻击者从容器获得对主机的root访问权限并不容易,但以root身份运行Docker仍然是一种非常常见的做法,例如,没有用户命名空间重新映射。
- 易受攻击的容器映像:2022年,Sysdig发现Docker Hub中有超过1,600张被识别为恶意的映像,此外还有许多存储在存储库中的容器,其中包含硬编码的云凭据、ssh密钥和NPM令牌。从公共注册表中提取映像的过程是不透明的,容器部署的便利性(加上开发人员快速产生结果的压力)意味着应用程序可以很容易地使用固有的不安全甚至恶意组件构建。
- 编排层:对于较大的项目,像库伯内特斯这样的编排工具可以增加攻击面,通常是由于配置错误和高度复杂性。2022年D2iQ的一项调查发现,在库伯内特斯上运行的应用程序中,只有42%进入了生产阶段——部分原因是管理大型集群的难度和陡峭的学习曲线。
阿卡迈的阿里·韦尔说,“库伯内特斯很成熟,但是大多数公司和开发人员没有意识到[有多复杂…]直到它们真正达到规模。”
机器学习的容器安全
可以使用机器学习算法来解决容器安全的具体挑战,该算法经过训练,可以在应用程序“干净运行”时观察其组件通过创建正常行为的基线,机器学习可以识别异常,这些异常可能表明来自异常流量、未经授权的配置更改、奇怪的用户访问模式和意外的系统调用的潜在威胁。
基于机器学习的容器安全平台可以扫描图像存储库,并将每个图像存储库与已知漏洞和问题的数据库进行比较。扫描可以自动触发和安排,有助于防止在开发和生产过程中添加有害元素。可以根据标准基准跟踪自动生成的审计报告,或者组织可以制定自己的安全标准——在处理高度敏感数据的环境中很有用。
专业容器安全功能和编排软件之间的连接意味着可疑容器可以立即隔离或关闭,不安全的权限被撤销,用户访问被暂停。通过与本地防火墙和虚拟专用网端点的应用编程接口连接,整个环境或子网可以被隔离,或者流量在网络边界停止。
最后一句话
机器学习可以通过在几个层面上工作来降低容器化环境中数据泄露的风险。异常检测、资产扫描和标记潜在的错误配置都是可能的,而且任何程度的自动警报或改进都相对容易实施。
基于容器的应用程序的变革性可能性可以在没有阻止一些人探索、开发和运行基于微服务的应用程序的安全问题的情况下实现。云原生技术的优势可以在不损害现有安全标准的情况下获得,即使是在高风险领域。
本站部分文章来自互联网,文章版权归原作者所有。如有疑问请联系QQ:3164780!
