越來越多的企業開始采用容器化的云原生應用,從第一個容器化應用開發到管理數千個容器的過程中,安全需求也在不斷變化。某制造企業在容器應用初級階段,攜手青藤云安全做好云原生安全建設。
背景及挑戰
為了更好地適應業務的靈活變化和彈性擴容。該企業將容器化應用投入生產運行,但同時也帶來了其自身的威脅向量。此時面臨的一個核心問題是認知偏差,從開發人員到習慣使用傳統工具的安全專家,幾乎沒有人完全了解容器中可能出現哪些潛在安全問題,也讓客戶面臨前所未有的安全挑戰。
漏洞管理難:在開發過程中,漏洞管理最重要的環節就是鏡像掃描。有些掃描工具只能發現操作系統漏洞和某些特定語言才會有的漏洞,而有些卻無法掃描每個鏡像層或某些開源軟件包。
合規管理效率低:團隊人員通過手動進行配置管理,不但效率低而且極易出錯,客戶需要自動執行配置檢查的工具改善安全狀況并減少運營工作量。
缺少運行時安全:應用投入生產后,必須能夠檢測到應用中出現異常行為,這可能是發生安全事件的前兆。
解決方案
為了更好的解決容器安全問題,該制造業企業采用了青藤云安全提供的容器安全一站式解決方案,盡早在容器生命周期中引入安全,將安全嵌入到構建、部署和運行整個容器生命周期中,做到開發階段—安全左移和運行階段—自適應安全。
l 構建階段
①安全鏡像掃描
通過容器鏡像掃描,檢測是否包含常用漏洞和風險(CVE),減少最終容器鏡像的攻擊面。正確的鏡像掃描包括以下幾個級別:
-進行鏡像掃描,檢查根鏡像和開源鏡像庫中是否有已知的第三方漏洞。
-對配置和部署腳本進行靜態掃描,及早發現錯誤配置問題,并對已部署的鏡像進行動態基礎架構加固掃描。
②觀察應用程序行為
在開發和集成時觀察微服務架構,了解哪些是正常行為,這有助于威脅建模。在生產中,通過威脅模型檢測異常行為,進行隔離。
l 分發階段
①審核已知內容
容器安全系統需要在通過容器鏡像倉庫時驗證容器鏡像,一旦發現不合規情況,就要攔截和隔離相關鏡像。
②審核風險評分
對每個檢查點的每個容器鏡像生成一個風險評分,實現容器生命周期的標準化,并對每個重要的檢查點中設置最低安全閾值,如果沒有達到最低水平,將對容器生命周期進行控制。
l 部署階段
①自動部署
將容器安全方案與部署系統聯系起來,實現統一的安全策略管理,對所編寫的、支持自動化部署任務的代碼進行掃描和驗證,發現代碼中存在的漏洞。
②安全基礎架構
在主機上部署無漏洞的容器仍然會有安全風險,需要實施相關的加固最佳實踐,例如,以 CIS 基準或公司加固策略為基準,查看與加固最佳實踐存在的偏差。
③日志數據審計
通過完整、全面的日志數據審核跟蹤,在發生安全風險時可以調查具體原因,并據此采取補救措施并實施新的安全策略。
l 運行階段
①工作負載清點與可視化
全自動化、細粒度地對工作負載進行分析,并可視化工作負載之間的網絡訪問行為。
②微隔離
使用微隔離可對容器的網絡訪問進行控制,并進行事件應急,發生問題后,可以采用隔離方式阻止威脅進一步擴散。
③入侵檢測和響應
提供多錨點的基于行為的檢測能力,能精準檢測容器特有的逃逸行為、基于K8S的攻擊行為、容器內的挖礦、橫向滲透等行為,同時進一步提供隔離容器、殺文件等方式進行處理。
④溯源分析
通過威脅狩獵主動發現未知威脅,猶如網絡空間的“黑匣子”,記錄各種日志數據,可用于各種網絡安全事件分析,溯源整個攻擊過程。
客戶收益
某制造企業安全負責人:“起初我們調研了眾多的解決方案,現在我特別慶幸當時選擇了青藤蜂巢容器安全解決方案,經過實踐運行,我們現在整個團隊都非常認可它的能力?!?/strong>
l 強大的鏡像掃描能力
通過CI集成插件,實現DevOps鏡像掃描能力,相較于傳統掃描工具流程,過去需要用將近1小時的漏洞掃描縮減為6分鐘,效率提升10倍,誤報率明顯降低,實現降本增效。
l 全面的容器運行風險檢查
針對運行的容器,一方面對其中的應用進行檢測,發現應用漏洞;另一方面通過無損檢測的方式,發現應用中的弱口令的問題,如mysql、redis的弱口令。
l 靈活的合規基線能力
支持150+檢查項,能夠覆蓋集群內全部的檢查對象,基線采?任務檢查?式,客戶可靈活針對不同檢查對象、不同業務系統設置靈活的檢查任務,以適應復雜的企業環境。