写点什么

青藤解密:72% 客户容器规模>100 个,[镜像安全] 谁来保护?

作者:青藤云安全
  • 2021 年 12 月 03 日
  • 本文字数:2112 字

    阅读完需:约 7 分钟

青藤解密:72%客户容器规模>100个,[镜像安全]谁来保护?
根据目前权威的市场调查数据显示,72%客户的容器规模为 100 个以上,4%客户的容器规模超 5000 个,部署小规模容器的客户已经相当普遍,容器使用率迎来新增长。


容器数量占比


伴随着容器的流行,它也成为黑客攻击的对象,容器安全受到重视。在容器安全方面,镜像安全是保护容器安全的基础,镜像扫描是解决镜像安全问题的基础手段。针对镜像风险问题,有效提升镜像扫描能力是关键。


镜像安全是基础

1.  镜像风险不容小觑

镜像本质上是一个将应用程序所需的所有组件(代码、配置文件、库、环境变量等)压缩在一起的轻量级软件包,是容器运行的基础。镜像存在着诸多不安全性,比如镜像存在安全漏洞/未打的补丁、镜像配置存在缺陷、包含嵌入式恶意文件、运行了未经验证或不可信来源的镜像、镜像构建不规范导致敏感信息暴露等。由于镜像风险系数较高,采取镜像扫描措施极有必要,容器镜像的扫描能力是推进容器安全建设的一大重要能力。

据研究表明,虽然很多机构已经意识到镜像扫描的重要性,但是通过对 7 天内扫描的镜像的通过率和失败率进行抽样调查,发现其中 50%的镜像未通过。镜像风险问题不容小觑,镜像扫描不仅要做,而且要做好,这成为摆在容器应用厂商面前的一个难题。


2.  镜像扫描的核心能力

要执行镜像扫描,一方面可以借助镜像仓库自带的漏洞扫描工具,比如 Docker Hub 和 Quay 等内置的扫描器可以实现对镜像的扫描。但是这还远远不够,对于更深层次的镜像风险,做好深度的镜像检查仍然至关重要。

青藤在云原生安全领域已经形成了相对成熟的解决方案:青藤蜂巢·云原生安全平台可通过对镜像多个阶段进行持续监控扫描,包括镜像构建过程中扫描(可 CI 集成 jenkins、azure 等)、镜像仓库中镜像扫描、运行时镜像扫描,支持单镜像扫描、批量镜像选中扫描、全部镜像立即扫描等,具体体现在下述几大能力上。


● 应用组件漏洞

鉴于漏洞的持续增长,需要持续监测新产生的漏洞。青藤蜂巢可以扫描镜像中应用组件的漏洞,对二进制包进行逐层深度扫描,快速分析漏洞所影响镜像的分布范围,并以可视化方式展示漏洞详细信息,包含了漏洞类型、严重程度、漏洞描述、标签、检查脚本、修复建议等,可以更好地帮助用户完成漏洞评估,帮助用户查找和定位问题,为用户漏洞修复提供指导。● 木马病毒和 Webshell

青藤蜂巢的镜像扫描功能集成了多个病毒引擎来发现镜像中的恶意文件,比如二进制木马、病毒、Webshell 等,并提供相应恶意文件的路径、类型以及危险识别等信息。面对 Webshell,青藤雷火引擎不依赖正则匹配,而是通过把复杂的变形和混淆回归成等价最简形式,然后根据 AI 推理发现 Webshell 中存在的可疑内容


● 敏感信息

镜像扫描时可以根据配置的敏感信息规则发现镜像中存在的敏感信息、操作,如环境变量中的用户密码、镜像中的数据文件等,在进行告警的同时也可以把敏感信息作为阻断规则,阻断存在敏感信息的镜像。


● 历史行为/安全溯源

镜像扫描的历史记录对后期镜像的历史行为追踪和重新检测大有益处,可查看攻击告警名称类型、攻击源信息等详细内容。通过溯源报告,可方便实现回溯攻击过程,进而找到不明来源的或者存在问题的镜像,溯源分析攻击事件,分析攻击者的攻击入口和攻击路径,为更有效的制定安全防御策略提供参考。


● 可信镜像识别

通过设置并识别受信任的镜像,在进行镜像扫描时,根据受信镜像规则判断镜像是否可信,从而也可以检查出是否存在不受信任的镜像。

 

青藤解决方案

在容器整个生命周期如何保护好镜像安全?青藤蜂巢·云原生安全平台帮助用户在 Build、Ship、Run 三个环节,对镜像进行持续性的扫描,帮助用户快速定位问题并有效解决安全问题。


青藤全生命周期镜像扫描


1.  构建阶段

在容器生命周期的早期阶段就应该考虑到安全的影响。青藤建议在构建阶段,要删除不必要的库和安装包,对镜像进行精简和加固,在镜像投入使用之前即对镜像进行漏洞扫描,并对镜像仓库中的镜像进行周期性扫描,规避潜在风险。目前来看,数据显示 74%的客户在容器部署前就对其容器镜像实施安全扫描


构建阶段镜像扫描占比图


2.  分发阶段

在分发阶段,要注意三点,第一要防止镜像在传输过程中被篡改,比如青藤采用对镜像添加多重签名,在拉取镜像时进行校验,确保镜像没被篡改过,第二要对镜像进行访问控制,第三是要使用受信任的镜像。


3.  运行阶段

在运行阶段,要确保容器运行时安全配置,如对容器内秘钥进行管理等,在生产环境中确保运行时的容器不存在漏洞,如果使用了新容器,应在第一时间进行漏洞扫描。

 

结语

容器镜像是云原生环境中各类应用的标准交付格式,镜像安全是确保容器安全的基础,持续进行镜像扫描是检查镜像中是否存在已知漏洞的一个重要手段,对于确保镜像安全发挥着重大作用。青藤蜂巢·云原生安全平台可在构建、分发和运行全生命周期内对容器镜像进行全方面扫描,确保容器镜像安全。

凭借卓越的技术表现,青藤蜂巢·云原生平台得到了行业的认可,屡获重要荣誉奖项,包括荣获中国信息通信研究院、云计算开源产业联盟联合颁发的 0001 号可信云容器安全解决“先进级”测评证书,入选云原生产业联盟评定的“云原生技术创新解决方案/产品”,成为安全品类唯一入选平台等,得到了行业客户的支持。载誉前行,青藤将继续在云原生安全领域不断创新技术,实现更大的跨越。

发布于: 31 分钟前阅读数: 7
用户头像

还未添加个人签名 2021.11.03 加入

还未添加个人简介

评论

发布
暂无评论
青藤解密:72%客户容器规模>100个,[镜像安全]谁来保护?