容器——包含整個(gè)運(yùn)行時(shí)環(huán)境的輕量級(jí)安裝包——已經(jīng)解決了可移植性、兼容性和快速、受控部署的解決方案。容器包括一個(gè)應(yīng)用程序、依賴項(xiàng)、庫和其他二進(jìn)制文件以及運(yùn)行它們所需的配置文件。

隨著微服務(wù)、基礎(chǔ)設(shè)施即代碼和面向服務(wù)的架構(gòu) (SOA) 時(shí)代的到來，容器得到了許多最流行的云基礎(chǔ)設(shè)施的支持，并為當(dāng)今大多數(shù)應(yīng)用程序提供服務(wù)。

在不到十年的時(shí)間里，被稱為容器的概念已經(jīng)登上了尖端計(jì)算技術(shù)的最前沿，乘著云計(jì)算的浪潮。與 x86 虛擬化技術(shù)改變數(shù)據(jù)中心計(jì)算的方式相同，容器重新定義了用于大規(guī)模交付應(yīng)用程序性能的同類最佳方法。

問題定義

就像任何計(jì)算系統(tǒng)一樣，容器由軟件組件組成，其中任何一個(gè)組件都可能包含缺陷和漏洞。容器的漏洞管理是識(shí)別、優(yōu)先排序和修復(fù)可能暴露容器的漏洞的過程。暴露可以很容易地包括容器所連接的其他系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。這些組件中的缺陷可能使攻擊者能夠控制系統(tǒng)并提供對(duì)敏感數(shù)據(jù)的訪問權(quán)限，從而導(dǎo)致經(jīng)濟(jì)損失、聲譽(yù)受損和系統(tǒng)中斷。

隨著容器技術(shù)的普及，檢測(cè)和修復(fù)用于創(chuàng)建、操作和管理它們的代碼中的漏洞的重要性也在增加。

挑戰(zhàn)

在哪里檢測(cè)漏洞

一個(gè)典型的使用容器的組織遵循一個(gè)開發(fā)流程，從規(guī)劃、代碼創(chuàng)建、修訂和構(gòu)建到測(cè)試、發(fā)布、部署到生產(chǎn)環(huán)境并最終穩(wěn)定運(yùn)行。每個(gè)階段都引入了檢測(cè)和糾正軟件漏洞的機(jī)會(huì)。

在哪個(gè)階段檢測(cè)漏洞最好？如何做到這一點(diǎn)，同時(shí)最大限度地減少對(duì)開發(fā)周期的干擾？什么工具最適合這項(xiàng)任務(wù)？其中許多問題都受到組織已在使用的工具的影響。使用開源或商業(yè)工具的決定也會(huì)影響組織的漏洞管理策略。

左移

隨著公司從傳統(tǒng)的瀑布開發(fā)模型轉(zhuǎn)向敏捷方法，一個(gè)越來越流行的術(shù)語是“左移”。在典型的開發(fā)流程中，各個(gè)階段從左到右閱讀：

計(jì)劃 —> 代碼 —> 構(gòu)建 —> 測(cè)試 —> 發(fā)布 —> 部署 —> 操作

在漏洞管理領(lǐng)域，左移意味著在接近軟件開發(fā)生命周期 (SDLC) 或開發(fā)管道開始時(shí)實(shí)施漏洞掃描的離散嘗試。

容器漏洞管理策略

除了簡(jiǎn)單地向左移動(dòng)之外，還有多種合適的機(jī)會(huì)來檢測(cè)容器環(huán)境中的漏洞。

CI/CD 管道掃描

持續(xù)集成/持續(xù)部署是創(chuàng)建、審查和測(cè)試代碼時(shí)主動(dòng)開發(fā)的特定階段。Jenkins、GitLab 和 Bamboo 等工具在自動(dòng)化構(gòu)建軟件模塊所涉及的工作流方面很受歡迎。這是執(zhí)行漏洞掃描的最佳場(chǎng)所，因?yàn)榭梢砸暂^低的成本更快地識(shí)別、修復(fù)和重新測(cè)試問題。幾種流行的漏洞管理工具可以與工作流自動(dòng)化集成。

注冊(cè)表掃描

注冊(cè)表是用于存儲(chǔ)容器鏡像的存儲(chǔ)庫（或存儲(chǔ)庫的集合），這些鏡像是用于部署運(yùn)行容器的多個(gè)單獨(dú)實(shí)例的模板。容器編排的一個(gè)主要組件涉及將容器從注冊(cè)表實(shí)例化到生產(chǎn)計(jì)算環(huán)境中。

因?yàn)檫@是一個(gè)如此常見和不可或缺的組件，幾乎所有流行的漏洞掃描工具都可以配置為掃描駐留在注冊(cè)表中的鏡像。這種識(shí)別容器漏洞的方法可能是發(fā)現(xiàn)和修復(fù)安全問題的成本最低、價(jià)值最高的方法。

通過查明容器映像中的漏洞，您可以修復(fù)可能存在于數(shù)十個(gè)或數(shù)百個(gè)正在運(yùn)行的容器實(shí)例中的缺陷。通過編排的魔力，舊容器可以被銷毀并無縫替換為更新版本。

運(yùn)行時(shí)環(huán)境掃描

掃描正在運(yùn)行的容器中的漏洞最接近傳統(tǒng)的漏洞發(fā)現(xiàn)方法，并且已經(jīng)在信息安全中使用了幾十年。這種方法意味著對(duì)正在運(yùn)行的容器執(zhí)行漏洞掃描以發(fā)現(xiàn)缺陷。然而，容器的本質(zhì)是你不會(huì)修復(fù)發(fā)現(xiàn)的東西——你修復(fù)開發(fā)管道中的容器鏡像并替換有故障的實(shí)例。就時(shí)間而言，如果不是成本的話，這可能是一個(gè)相對(duì)昂貴的提議。也就是說，這種方法是檢測(cè)未正確部署的“流氓”容器的最佳方法。

主節(jié)點(diǎn)（主機(jī)）掃描

繼續(xù)掃描容器化環(huán)境中的支持基礎(chǔ)架構(gòu)非常重要——這意味著支持容器運(yùn)行時(shí)的主機(jī)和虛擬機(jī)（Containerd、LXC、CRI-O 等）。好消息是，許多支持集成到流行 CI/CD 工具、注冊(cè)表和運(yùn)行時(shí)的工具都是由傳統(tǒng)漏洞管理供應(yīng)商提供的，提供了功能全面的一站式服務(wù)。

容器安全的關(guān)鍵原則

使用容器并不能減輕有條不紊地識(shí)別和修復(fù)軟件漏洞的需要。容器——雖然不可變——由復(fù)雜的層組成，每個(gè)層都有潛在的漏洞和安全挑戰(zhàn)。

開發(fā)管道中有多種機(jī)會(huì)可以掃描和突出顯示這些漏洞。組織有多種產(chǎn)品可供選擇。了解這些各種工具的功能很重要，這些工具可能會(huì)有所不同，可以作為開源或商業(yè)風(fēng)格提供。當(dāng)組織開始為漏洞管理選擇策略和產(chǎn)品時(shí)，應(yīng)考慮一些關(guān)鍵原則：

使用來自可信來源的最少基礎(chǔ)鏡像或“distroless”鏡像構(gòu)建容器，請(qǐng)記住，某些容器掃描工具在沒有包管理器的發(fā)行版中存在問題。

維護(hù)您添加到鏡像的所有工具、包和庫。

仔細(xì)選擇適合您組織流程、DevOps 實(shí)踐、生態(tài)系統(tǒng)和功能的漏洞掃描工具。

計(jì)劃在容器開發(fā)管道的每個(gè)階段實(shí)施漏洞掃描，同時(shí)注意合規(guī)性要求。

考慮額外的控制，例如暫存注冊(cè)表、Kubernetes 準(zhǔn)入控制器、鏡像簽名、多階段構(gòu)建等。

請(qǐng)記住，合規(guī)性和可信仍然是任何計(jì)算環(huán)境的重要考慮因素——容器也不例外。

編輯：黃飛

?