2010年下半年,人们对容器和容器平台的兴味呈爆炸式增长。在这股热潮中,容器已成为排在 Linux和Windows虚构机(VM)之后的第三大托管运行程序的运转时。
在本指南中,咱们将讨论在云端运转容器的好处,并细心讨论如何确保容器化上班负载的安保性。
如何在云端运转容器
与传统运行程序相比,容器镜像不只蕴含运行程序,还蕴含了一切依赖项,包括系统库、驱动程序和性能。容器镜像简化了部署,让虚构机上手动性能操作系统和容易出错的设备装置变成过去式。部署变得流利、极速、无端障。
一切大型云服务提供商(CSP)都为运转容器上班负载提供了多种云服务。第一种形式是客户部署自己选用的开源或第三方容器平台(如RedHat OpenShift或Apache Mesos)。他们自己在云端的虚构机上装置这些平台。因此,在这种状况下,云提供商不介入容器平台的装置和运转。
第二种选用是在CSP提供的托管容器平台服务上运转容器。例如,Azure Kubernetes Service(AKS)、Google Kubernetes Engine(GKE)和Amazon Elastic Kubernetes Service。只需点击一下,Kubernetes集群就会智能启动。
在这种形式下,容器敌对台性能由客户担任,这是这种形式与第三种选用(云端集中容器运转时平台,如Azure Function Apps或Azure Web Apps)的关键区别。除了其余选项外,后一种服务还让工程师能提供容器化运行程序,并暗藏底层容器平台的存在。因此,安保架构师面临的应战是如何确保这一大堆运转容器化运行程序的平台的安保。
容器安保要求
为了有效地包全容器上班负载,安保架构师须要片面了解技术层和安保相关义务。这些义务旨在加固一切相关组件、治理破绽以及被动识别和应答整个技术栈的要挟和攻打。
加固须要安保地性能一切组件,特意是驳回弱小的访问控制和网络设计。破绽治理当识别自主开发和第三方组件中的安保破绽和失误性能,并对其启动修补。即使容器镜像在部署时没有破绽,也或许在之后发现破绽,Log4j就是一个例子。最后,黑客可以攻打容器化运行程序和底层容器平台。因此,企业必需监测容器资产中的意外状况和可疑行为(要挟检测)。
加固、破绽治理和要挟检测对整个技术堆栈(图 3,左)都是必需的,包括:底层基础架构层(虚构机、网络、存储或云租户设置)、容器平台自身(如 OpenShift 或Amazon Elastic Kubernetes Service EKS),最后是每个容器化运行。
平台层的职责因云服务而异。关于Azure App Functions等容器化运转时环境,客户必需确保镜像无破绽,服务性能安保;其余一切均由CSP担任。相比之下,经常使用Amazon EKS集群则象征着容器平台性能也是客户的责任,不过CSP会为平台组件打补丁。
图4显示了与容器上班负载相关的一切安保应战。假设客户而不是CSP担任特定层的话,安保架构师就必需了解并确定如何处置运转容器镜像的每个云服务(如 Azure Function App、Amazon EKS、Cloud Run)的每一个技术堆栈层(运行、平台、基础设备)的安保义务(加固、破绽治理、攻打/要挟检测)。
为容器化上班负载提供安保保证
微软Defender或谷歌的安保中心等云原生安保工具是包全公共云中容器化上班负载安保的首选处置打算。这些工具可以检测容器上班负载和底层平台中的破绽和要挟。虽然它们必需不是收费的,但是客户只需点击一两下(或许很少几下)就可以激活,并且空谷传声地提高安保性。
Azure Function Apps是可以运转容器化上班负载的Azure 服务之一,在钻研Azure Function Apps 时,微软的Defender for Cloud是最适合的产品。首先,它提供Defender Recommendations,这些倡导列出了不安保的参数和性能选用,如“应该只能经过HTTPS 访问Function App”。这些倡导(局部)基于CIS基准。Defender的第二大性能Attack Paths剖析着眼于更宽泛的环境。它能够识别应用多种非完美性能选用入侵公司云资产的攻打门路(2)。最后,Defender Security Alerts会就正在启动的、或许是攻打的优惠向专家收回报警(3).
微软Defender之于Azure就像是Amazon GuardDuty之于 AWS或许Google Security Command Center之于GCP:很棒的开箱即用云原生服务,可确保(不限于)基于容器的上班负载的安保。除了这些云原生处置打算,第三方安保工具也是可行的选用。规模较大的企业应该对它们和云原生服务的性能和老本启动比拟。
当首席消息安保官们要求片面笼罩一切基于云的容器上班负载时,容器安保的真正应战就开局了。这时,安保架构师须要区分剖析每个相关的云服务。在剖析环节中,他们应特意关注三个疑问:
此外,第三方容器安保处置打算当然也是可行的选用。不过,至少关于大型企业来说,必需将它们的性能和老本与云原生处置打算启动比拟。
遏制要挟
关于 首席消息安保官们来说,容器安保的可怕理想是,容器技术曾经浸透到大少数 IT 组织中。虽然首席消息安保官和首席消息官们通常都了解手头的大型Kubernetes集群,但他们不太了解很多不那么起眼但也经常使用容器的云服务。由于黑客的指标是找到未受包全的服务(而不是攻打受包全的服务),因此企业必需剖析容器上班负载的位置,并确保一切容器的安保。