来自 CC防护 2021-06-11 11:09 的文章

游戏盾_防ddos攻击能力_免费试用

游戏盾_防ddos攻击能力_免费试用

让我们面对现实吧——容器是虚拟化技术的前沿,对于我们整个行业的DevOps和敏捷组织来说,这是一种新的范式。我们采访了几家公司,他们对这项技术感到不安,走出了边缘,直接投入到集装箱中,还有一些公司刚刚开始尝试。通过这一点,阿里云ddos防御安装,我们注意到了整个行业中关于容器的一个特殊趋势;它们有可能成为应用程序和业务数据最安全的部署机制之一。尽管集装箱具有许多固有安全性的特点,但必须采取某些措施确保其符合企业要求的保护水平。容器安全性、漏洞和漏洞概述随着公司开始了解集装箱技术和集装箱化带来的好处,一种舒适感就开始显现。在当今不断变化的安全环境中,关注点从容器本身转移到了基于安全的问题;更具体地说,如果我们将数据存储在容器中,我们如何确保数据的安全性?在我上个月对容器的初步介绍中,我解释了大多数公司首先理解的技术——容器映像是不可变的。这意味着它们不能改变。从安全的角度来看,它们看起来是天生安全的。人们的看法是,如果容器图像不能被改变,免费ddos防御盾,威胁参与者就很难篡改它们。你对容器技术的了解越多,你就越能理解攻击者在寻找容器表面上安全特性的创新方法。威胁参与者可以利用容器部署方法中的安全漏洞以及映像本身的漏洞。因此,公司需要采取一种保护容器的过程,ddos防御接入,以解决容器生命周期的每个阶段的风险。集装箱安全随着公司寻求新的方法来为不同的环境保护容器,有几个因素需要记住。以下提供了一个过程,组织可以采用该过程来保护容器,无论它们部署在什么环境中:在将图像提交到注册表之前对其进行数字签名在典型的容器驱动的生态系统中,开发人员编写代码,将代码打包为图像并提交到注册表。然后,多ip自动ddos防御系统,DevOps工程师和其他操作团队成员从注册表中提取这些图像,在测试环境中运行代码,然后,如果测试成功,则推送到生产环境中。容器映像和存储库的数量正在快速增长,大多数都可以通过internet轻松访问。作为一个开发人员,即使您完全不知道它们来自何处或是谁创建的,也很容易获取有用的图像,这使得很难确定它们是否恶意。这种自由的氛围为攻击者提供了一个完美的开放空间,他们可以欺骗用户拉恶意图像。通过禁止在组织中使用未验证的图像,高防cdn免费,可以避免从存储库中提取恶意项目。此外,将数字签名或某些基于PKI(公钥基础设施)的信任链作为图像验证过程的一部分,将添加额外的安全层。设置验证过程的一种方法是让开发人员在将图像提交到注册表之前对其进行数字签名。例如,在Docker中,您可以使用所谓的Docker内容信任。当从注册表中提取图像时,它将验证签名,确保图像来自正确的组织并与创建的代码匹配。扫描图像以查找安全漏洞/漏洞"影子容器"是2017年美国黑帽组织Aqua Security演示的多阶段APT(高级持续威胁)攻击的一部分。影子容器为受害者的主机系统或hypervisor中的恶意容器添加持久性和隐藏能力。此功能对于攻击者来说至关重要,因为每次重新启动主机或Docker守护程序时,对正在运行的容器所做的更改都会自动删除。由于虚拟机从基本映像引导,因此安装在该映像上的任何恶意代码也将被删除。影子容器攻击基本上保留了容器的状态,进而保留了其中的恶意脚本。此外,在Banyan进行的一项研究中,Docker Hub(可以说是最广泛使用的公开容器图像来源)中的大量图像(30%的官方图像和40%的普通图像)被发现存在ShellShock、Heartbleed、Poodle等漏洞。尽管这些漏洞是在Docker Hub容器映像中发现的,但此类问题很可能也会在其他注册中心(甚至是企业使用的私有注册中心)中表现出来。这有着巨大的意义,因为通过设计,每一个图像都可以很容易地发射到大量的容器环境中。如果一个映像有漏洞,从它启动的所有容器都会自动继承这些漏洞。为了降低此风险,建议扫描图像以查找操作系统和应用程序级软件包中的已知漏洞。这种行为确保实时分析,以便获得有关图像内容的详细信息。审核图像图像审计的重要性有几个原因。审核可以帮助开发人员跟踪生产中运行的映像,以及用于确定映像是否为最新的代码的多个版本。考虑一下这个基本的安全卫生措施,它可以清除过期或过期的图像,并用更新或"修补"的版本替换它们。此外,审核使组织能够捕获其版本仍然容易受到特定类型威胁(例如,心血)的容器。一旦识别出易受攻击的容器,就可以将所需的修补程序应用于gold映像,并将这些更改级联到从它创建的容器中。如果手动完成这些更改可能会相当繁琐和耗时,但是有一些工具可以自动执行此过程。应用零信任和隔离容器的另一个安全特性是它们本质上与主机系统和其他容器隔离,但是,容器(以及任何使用它的人)仍然有可能绕过隔离机制,访问主机上的文件,甚至在所谓的"容器突破"中执行权限提升。概念验证漏洞利用某些Linux内核功能。作为信息安全的基本概念,零信任和隔离也可以应用于容器,特别是防止容器泄漏。零信任的关键支柱之一是最小特权原则,它鼓吹将用户访问权限限制为完成工作所需的最低权限。通过将此原则应用于容器,您将继续为任何不需要的来宾添加安全复杂性层。例如:将文件系统设置为只读,以阻止恶意脚本的写入或文件内容的修改。限制对内存的访问。这有效地防止攻击者消耗所有内存资源,同时也阻止其他容器访问资源。不要让你的容器以根用户身份运行,以避免大量的潜在问题。应用运行时威胁检测在运行时,您需要监视和检测恶意活动的迹象,如资源滥用、异常行为、用户删除等。除了监视和检测之外,您还需要在必要时采取适当的措施。因此,在查看日志并获得一些额外的上下文之后,您将需要启动一个响应。这可能包括额外的监视和日志记录、应用更多的隔离规则、禁用用户,甚至删除容器。记住,自动化是关键。如果你能减少人为因素,你就可以减少出错的概率,同时提高每个过程的质量、一致性、及时性和效率。Cloudify、Aqua和Twistlock等利用自动化的工具可以帮助简化这些过程。容器具有一些使其本质上安全的特性,比如运行的进程更少、隔离性、不变性等等。但正如我们在这里概述的,在容器生命周期以及容器映像本身中存在安全漏洞和漏洞,攻击者可以利用这些漏洞进行攻击。你有责任知道这些漏洞和漏洞在哪里,并采取适当的措施加以保护。FacebookTwitterEmail分享