容器——包含整個運行時環(huán)境的輕量級安裝包——已經(jīng)解決了可移植性、兼容性和快速、受控部署的解決方案。容器包括一個應用程序、依賴項、庫和其他二進制文件以及運行它們所需的配置文件。

隨著微服務、基礎設施即代碼和面向服務的架構(gòu) (SOA) 時代的到來，容器得到了許多最流行的云基礎設施的支持，并為當今大多數(shù)應用程序提供服務。

在不到十年的時間里，被稱為容器的概念已經(jīng)登上了尖端計算技術的最前沿，乘著云計算的浪潮。與 x86 虛擬化技術改變數(shù)據(jù)中心計算的方式相同，容器重新定義了用于大規(guī)模交付應用程序性能的同類最佳方法。

問題定義

就像任何計算系統(tǒng)一樣，容器由軟件組件組成，其中任何一個組件都可能包含缺陷和漏洞。容器的漏洞管理是識別、優(yōu)先排序和修復可能暴露容器的漏洞的過程。暴露可以很容易地包括容器所連接的其他系統(tǒng)、應用程序和數(shù)據(jù)。這些組件中的缺陷可能使攻擊者能夠控制系統(tǒng)并提供對敏感數(shù)據(jù)的訪問權(quán)限，從而導致經(jīng)濟損失、聲譽受損和系統(tǒng)中斷。

隨著容器技術的普及，檢測和修復用于創(chuàng)建、操作和管理它們的代碼中的漏洞的重要性也在增加。

挑戰(zhàn)

在哪里檢測漏洞

一個典型的使用容器的組織遵循一個開發(fā)流程，從規(guī)劃、代碼創(chuàng)建、修訂和構(gòu)建到測試、發(fā)布、部署到生產(chǎn)環(huán)境并最終穩(wěn)定運行。每個階段都引入了檢測和糾正軟件漏洞的機會。

在哪個階段檢測漏洞最好？如何做到這一點，同時最大限度地減少對開發(fā)周期的干擾？什么工具最適合這項任務？其中許多問題都受到組織已在使用的工具的影響。使用開源或商業(yè)工具的決定也會影響組織的漏洞管理策略。

左移

隨著公司從傳統(tǒng)的瀑布開發(fā)模型轉(zhuǎn)向敏捷方法，一個越來越流行的術語是“左移”。在典型的開發(fā)流程中，各個階段從左到右閱讀：

計劃 —> 代碼 —> 構(gòu)建 —> 測試 —> 發(fā)布 —> 部署 —> 操作

在漏洞管理領域，左移意味著在接近軟件開發(fā)生命周期 (SDLC) 或開發(fā)管道開始時實施漏洞掃描的離散嘗試。

容器漏洞管理策略

除了簡單地向左移動之外，還有多種合適的機會來檢測容器環(huán)境中的漏洞。

CI/CD 管道掃描

持續(xù)集成/持續(xù)部署是創(chuàng)建、審查和測試代碼時主動開發(fā)的特定階段。Jenkins、GitLab 和 Bamboo 等工具在自動化構(gòu)建軟件模塊所涉及的工作流方面很受歡迎。這是執(zhí)行漏洞掃描的最佳場所，因為可以以較低的成本更快地識別、修復和重新測試問題。幾種流行的漏洞管理工具可以與工作流自動化集成。

注冊表掃描

注冊表是用于存儲容器鏡像的存儲庫（或存儲庫的集合），這些鏡像是用于部署運行容器的多個單獨實例的模板。容器編排的一個主要組件涉及將容器從注冊表實例化到生產(chǎn)計算環(huán)境中。

因為這是一個如此常見和不可或缺的組件，幾乎所有流行的漏洞掃描工具都可以配置為掃描駐留在注冊表中的鏡像。這種識別容器漏洞的方法可能是發(fā)現(xiàn)和修復安全問題的成本最低、價值最高的方法。

通過查明容器映像中的漏洞，您可以修復可能存在于數(shù)十個或數(shù)百個正在運行的容器實例中的缺陷。通過編排的魔力，舊容器可以被銷毀并無縫替換為更新版本。

運行時環(huán)境掃描

掃描正在運行的容器中的漏洞最接近傳統(tǒng)的漏洞發(fā)現(xiàn)方法，并且已經(jīng)在信息安全中使用了幾十年。這種方法意味著對正在運行的容器執(zhí)行漏洞掃描以發(fā)現(xiàn)缺陷。然而，容器的本質(zhì)是你不會修復發(fā)現(xiàn)的東西——你修復開發(fā)管道中的容器鏡像并替換有故障的實例。就時間而言，如果不是成本的話，這可能是一個相對昂貴的提議。也就是說，這種方法是檢測未正確部署的“流氓”容器的最佳方法。

主節(jié)點（主機）掃描

繼續(xù)掃描容器化環(huán)境中的支持基礎架構(gòu)非常重要——這意味著支持容器運行時的主機和虛擬機（Containerd、LXC、CRI-O 等）。好消息是，許多支持集成到流行 CI/CD 工具、注冊表和運行時的工具都是由傳統(tǒng)漏洞管理供應商提供的，提供了功能全面的一站式服務。

容器安全的關鍵原則

使用容器并不能減輕有條不紊地識別和修復軟件漏洞的需要。容器——雖然不可變——由復雜的層組成，每個層都有潛在的漏洞和安全挑戰(zhàn)。

開發(fā)管道中有多種機會可以掃描和突出顯示這些漏洞。組織有多種產(chǎn)品可供選擇。了解這些各種工具的功能很重要，這些工具可能會有所不同，可以作為開源或商業(yè)風格提供。當組織開始為漏洞管理選擇策略和產(chǎn)品時，應考慮一些關鍵原則：

使用來自可信來源的最少基礎鏡像或“distroless”鏡像構(gòu)建容器，請記住，某些容器掃描工具在沒有包管理器的發(fā)行版中存在問題。

維護您添加到鏡像的所有工具、包和庫。

仔細選擇適合您組織流程、DevOps 實踐、生態(tài)系統(tǒng)和功能的漏洞掃描工具。

計劃在容器開發(fā)管道的每個階段實施漏洞掃描，同時注意合規(guī)性要求。

考慮額外的控制，例如暫存注冊表、Kubernetes 準入控制器、鏡像簽名、多階段構(gòu)建等。

請記住，合規(guī)性和可信仍然是任何計算環(huán)境的重要考慮因素——容器也不例外。

編輯：黃飛

?