容器安全03:NIST.SP.800-190容器安全指南 0x00背景
计算机系统技术报告美国国家标准技术研究院(NIST) 的信息技术实验室(ITL) 通过为美国的测量和标准基础设施提供技术指导, 促进了美国经济和公共福利的发展。 ITL 开发测试、 测试⽅法、参考数据、 概念验证、 以及技术分析, 促进信息技术的开发和⽣产使⽤。 ITL 的职责包括制定管理、 ⾏政、 技术和物理标准以及指南, 以经济有效地保护联邦信息系统中除国家 安全相关信息以外的安全性和隐私。 特别出版物 800 系列报告了 ITL 在信息系统安全性⽅⾯的研究、 指南和探究⼯作, 以及与⾏业、 政府和学术组织的合作活动。 摘要出线间隔
容器技术, 也称为容器, 是操作系统虚拟化与应⽤软件打包相结合的⼀种形式。 容器提供了⼀种可移植、 可重⽤的⾃动化⽅式来打包和运⾏应⽤。 该出版物解释了与容器使⽤相关的潜在安全隐患, 并对解决这些隐患提出了建议。电极扁钢
关键词
应⽤; 应⽤软件打包; 容器; 容器安全; 隔离; 操作系统虚拟化; 虚拟化
0x01 执⾏摘要
操作系统(OS) 虚拟化为每个应⽤单独提供了⼀个操作系统虚拟化视图, 从⽽使每个应⽤与服务器上的所有其它应⽤隔离开来。 每个应⽤只能看到并影响⾃⾝。 近年来,由于 OS 虚拟化易⽤性程度提⾼、 并提⾼了开发⼈员敏捷性等关键效益, OS 虚拟化已变得越来越流⾏。 当今的 OS 虚拟化技术主要致⼒于提供⼀种可移植、 可重⽤的⾃动化⽅式来打包和运⾏应⽤(app) 。 术语“应⽤容器”或简称
为“容器”经常⽤于指代这些技术。该⽂档的⽬的是解释与容器技术有关的安全问题, 并为规划、 实施和维护容器时解决这些问题提出切实可⾏的建议。 许多建议是针对容器技术架构(如图 1 所⽰) 中的具体组件或层⽽提出的。草莓托
0x02 确保其容器技术的实施和使⽤安全
组织机构应遵循这些建议, 以确保其容器技术的实施和使⽤安全:
(1) 通过使⽤容器, 可以调整组织机构的运营⽅式和技术流程, ⽀持以全新⽅式来开发、运⾏和⽀持应⽤。采⽤容器技术可能会破坏组织机构内的现有⽅式和软件开发⽅法。 传统的开发实践、 补丁技术和系统升级过程可能⽆法直接应⽤到容器化环中,因此员⼯愿意适应这种新模型,这⼀点⾮常重要。 应⿎励员⼯采纳本指南中涵盖的在容器内安全构建和运⾏应⽤的推荐做法,并且组织机构应愿意反思现有程序, 充分利⽤容器。 应向软件开发⽣命周期内所涉及的所有⼈提供有关技术和运⾏⽅式的教育与培训。
(2) 使⽤容器专⽤主机操作系统⽽不是通⽤操作系统以减少攻击⾯。NIST 特别出版物 800-190 容器安全指南容器专⽤主机操作系统是⼀种极简操作系统, 仅设计⽤于运⾏容器, ⽽禁⽤所有其它服务和功能, 并且部署了只读⽂件系统和其它加固措施。 当使⽤容器专⽤主机操作系统时, 攻击⾯通常⽐使⽤通⽤主机操作系统⼩很多, 所以攻击和⼊侵容器专⽤主机操作系统的⼏率更⼩。 因此, 组织机构应尽量使⽤容器专⽤主机操作系统来降低风险。 但重要的是要注意, 专⽤主机操作系统随着时间的推移也会有漏洞需要修复空心型钢
(3) 只将具有同样⽬的、 敏感性和威胁态势的容器组合放在同⼀主机操作系统内核中, 以提⾼纵深
防御能⼒。虽然⼤多数容器平台在将容器与容器隔离、 将容器与主机操作系统隔离⽅⾯做的卓有成效, 但在同⼀主机操作系统上运⾏不同敏感级别的应⽤时会存在不必要的风险。 依据⽬的、敏感性和威胁态势来将容器分隔开来, 可以提⾼纵深防御能⼒。 组织机构按照这种⽅式对容器分组, ⼊侵某⼀组容器的攻击者就很难横向移动到其它组容器。 这提⾼了发现和控制⼊侵的可能性, 并且确保任何残留数据, 如缓存或加载临时⽂件的本地数据卷,保留在安全区域内。在数以百计的主机和数以千计的容器这样⼤规模的环境中, ⾃动化分组才具有现实可操作性。 幸运的是, 容器技术通常包含某种机制, 能够将应⽤组合在⼀起, ⽽且容器安全⼯具可以使⽤像容器名称和标签等属性来对容器执⾏安全策略。电镀阳极板
(4) 采⽤容器专⽤的漏洞管理⼯具和过程, 防⽌镜像遭到⼊侵。传统的漏洞管理⼯具对主机持久性和应⽤更新机制及频率做了很多假设, 但这与容器化模型完全不相符。 例如, 传统的漏洞管理⼯具常常假定, 某⼀服务器长时间运⾏⼀组相同的应⽤, 但不同的容器实际上可能是根据资源可⽤性情况, 在任何给定时间在不同的服务器上运⾏。 此外, 传统⼯具往往⽆法检测容器内的漏洞, 从⽽产⽣⼀种虚假的安全感。 组织机构使⽤的⼯具应采⽤声明式、 分步构建的⽅法, 并将容器和镜像的不变性融⼊其设计中, 从⽽提供更可⾏、 更可靠的结果。这些⼯具和过程应考虑到镜像软件漏洞和配置设置。 组织机构应采⽤⼯具和过程来验证并强制确保镜像符合安全配置最佳惯例。 这应包括对每个镜像的合规性状态进⾏集中报告和监控, 防⽌运⾏不合规镜
(5) 考虑采⽤基于硬件的防范措施, 为可信计算提供基础。安全应扩展到整个容器技术的所有层。 ⽬前, 实现这⼀⽬标的⽅法是将安全建⽴在硬件可信根之上, 例如⾏业标准的可信平台模块(TPM) 。 在硬件可信根中存储了主机的固件、软件和配置数据的测量结果。 在启动主机前⽤存储的测量结果验证当前的测量结果, 这就保证了可以信任主机。 硬件的可信链可以扩展到操作系统内核和操作系统组件,从⽽可以实现针对启动机制、 系统镜像、 容器运⾏时和容器镜像的密码验证。 可信计算为构建、 运⾏、 编排和管理容器提供了⼀种安全⽅式。
(6) 使⽤容器感知的运⾏时防御⼯具。NIST 特别出版物 800-190 容器安全指南部署和使⽤能够在容器运⾏时预防、 检测和响应威胁的专⽤容器安全解决⽅案。 传统的安全解决⽅案, 如⼊侵防御系统(IPS) 和 Web 应⽤防⽕墙(WAF) , 通常⽆法对容器提供恰当防护。 这些传统的安全解决⽅案可能⽆法运⾏在⼤规模的容器上, ⽆法管理容器环境中的频繁变更, 也⽆法检测容器内部的活动。 利⽤容器原⽣安全解决⽅案能够监视容器环境,并能够精确检测其中的异常情况和恶意活动
0x03 标准⽬录
光触媒仿真花
欢迎⼤家分享更好的思路,热切期待^^_^^ !
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议