【51CTO.com快译】容器(当然是指在公共云上运行的容器)现在实际上是一件古董。这些独立的轻量级软件包具有自己的运行环境,可以在平台之间移动,通常不需要大量更改代码。该容器包括应用程序及其依赖项,如库、其他二进制代码和运行所需的配置文件。
容器是最流行的应用程序开发方法之一,也支持“包装”存在于容器中的应用程序,但容器面临着系统性的缺陷和漏洞。因此,使用容器已成为云安全专家最害怕的事情之一,也是犯罪分子攻击的首选。
核心问题是任何暴露很容易牵扯连接到容器的其他系统、应用程序和数据。此外,这些组件中的缺陷可能使攻击者能够控制系统以及系统可以访问的任何敏感数据。这时候会发生糟糕的事情。
检测容器漏洞的最佳方法是什么?更重要的是,可以做些什么来最大程度地减少对必须使用容器构建系统的人造成的干扰?
答案实际上分为两部分:扫描和构建漏洞以避免漏洞。
考虑到扫描是CI/CD扫描是最常见的方法(连续集成和连续交付)管道的一部分。扫描可以在创建、测试、审查和部署代码以及操作过程中发现安全问题。在自动扫描过程中可以发现漏洞,在某些情况下,漏洞可以自动纠正,无需开发人员的任何参与。
扫描注册中心或检查存储库集合以查看多个容器图像。当容器图像从注册中心实例化到生产系统时,它们成为运行中的容器,无论是否在云中。
环境扫描是另一种方法,旨在扫描执行中的容器,以发现安全问题。
最好的方法是使用尽可能多的漏洞进行扫描,以消除构建和部署基于容器的应用程序的部分(但不是全部)风险。
为了避免漏洞,常常使用常识——考虑可能因愚蠢而引入的漏洞,如使用来自不可靠来源的基本图像。其他方法将充分利用安全审计部门审查的工具,只使用来源清晰的代码,并为开发人员提供特殊培训,以便在构建安全容器时做出正确的选择。
选择合适的工具进行扫描,并增加对构建、测试、临时存储和部署的容器的扫描。事实上,检查每个阶段的安全问题并没有减慢进度,而是完全降低了风险。
这不是一门困难的科学。您充分利用现有的验证工具。尽管如此,许多容器开发人员并没有使用一些最基本的安全工具和方法。考虑到大多数迁移到云中IT该部门非常依赖容器,我们需要解决这个问题。
原文标题:When containers become a nightmare,作者:David Linthicum
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】