写点什么

青藤:业务迁移到容器云上的 6 个注意事项

作者:青藤云安全
  • 2022 年 1 月 10 日
  • 本文字数:2281 字

    阅读完需:约 7 分钟

青藤:业务迁移到容器云上的6个注意事项

容器化技术的广泛采用让技术和安全人员产生了一些担忧:该怎样保护容器的安全呢?容器数量多,生命周期非常短,东西向流量远远多于南北向流量,在 CI/CD 管道中快速产生、快速消亡。容器催生了额外的工具生态系统,也增加了攻击面。


在将业务迁移到容器云环境时,应该注意哪些事项呢?下文我们总结了 6 个注意事项,帮助您安全使用容器。

1、将文件系统设置为只读


容器是不可变的,一旦运行,容器就不再需要对根文件系统进行更改。不可变的根文件系统有助于实施不可变的基础架构策略,防止恶意二进制文件写入主机系统。即使容器退出,容器也应该只在可以持久化的挂载卷上写入。对于那些不需要写入的容器文件,要注意将文件系统设置为只读。



这样做的原因:在规定了不可以对容器文件系统写入后,如果有某些进程尝试更改容器文件系统,那么就可以认定这些进程是恶意进程(例如,有人试图进行权限提升或删除 payload)。为了防止这种风险,要将文件系统设置为只读。

2、进行多阶段构建


在 Docker 进入多阶段构建之前,开发人员通常会有一个开发用的 Dockerfile(里面有构建应用所需的所有软件包),还会有一个生产用的 Dockerfile,里面只包含了应用和必要的服务。Dockerfile 中的每条指令都会为镜像添加一层,在继续下一层之前要清除所有不必要的进程。通过多阶段构建,可以在 Dockerfile 中命名一个以 From 命令开头的指令,并在 AS stagename 命令中使用--from=stagename 的选项从该阶段 COPY 文件。每条新的 From 指令以 alpine:latest 镜像为基础,是新的构建阶段的开始。



这样做的原因:利用多阶段 Dockerfile 意味着开发人员可以运行与 CI/CD 服务器完全相同的命令,并且因为它在容器中运行,所以每次都应该返回相同的结果,这极大地提高了应用程序之间的一致性。通过仅将所需的文件和库复制到最终版本的镜像中,确保部署的容器中没有额外的二进制文件,从而减少攻击面。例如,若构建一个静态的 Golang 二进制文件,它需要多个编译时的依赖项,但在最终构建的镜像中不应该包含这些依赖项,多阶段构建可以允许创建一个只有最终可执行文件的镜像。

3、利用 Cap Drop 功能


在 Linux 内核中,特定的权限单元被称为 Linux Capabilities,目前 Linux 具有 38 种不同的 Capabilities。Docker 有一项 Cap Drop 功能,可以让开发人员删除特定的 Linux Capabilities,从而降低容器的权限。虽然 Docker 已经默认限制了某些 Capabilities,但开发人员仍然可以删除一些不必要的 Capabilities 来进一步降低风险。


这样做的原因:遵循最小特权的原则,只授权所需的 Capabilities。例如,通过 Cap_net_raw 可以绑定到任何地址,进行透明代理,这种行为给攻击者提供了向网络注入有病毒信息的通道,具有一定的安全风险。因此,可考虑删除该 Capability。

4、利用 Cap Add 功能


通过 CAP ADD 可以给容器赋予更细粒度的特殊权限。一个典型的 Docker 容器通常会具有以下 Capabilities:Chown、Dac_override、Fsetid、Fowner、Mknod、Net_raw、Setuid、Setgid、Setpcap、Setfcap、Net_bind_service、Sys_chroot、Kill 以及 Audit_Write。若为应用程序增加一些额外的 Capabilities,并以特权模式运行容器,虽然这样操作起来非常方便,但这种做法会带来各种潜在的安全风险,而只赋予应用程序运行时所需的 Capabilities,则危险系数会降低。


这样做的原因:Docker 提供了权限白名单的机制,使用 Cap Add 可以添加必要的权限,这个功能可以避免设置--privileged 标志,利用参数来解决权限问题。例如,运行官方的 elasticsearch 镜像需要执行 mlockall 命令,但默认情况下,Docker 在运行时是没有这个权限的。通过 Cap Add 与 Ipc_lock 后,容器就可以使用 mlockall 命令了,但这也不会授予容器其他能力。

5、使用密钥管理工具


密钥的安全管理也是确保容器安全的一个重要方面。就 Docker Swarm 服务而言,密钥是一组敏感的数据,例如,密码、SSH 密钥、SSL 证书或其他不应通过网络传输或未加密就存储在 Dockerfile、应用程序中的数据。Docker 内置了集中管理这些密钥数据的能力,包括在动态传输期间以及静态存储时都会被加密。可以根据具体的服务,设置对密钥数据的访问权限。可以使用 kubernetes 或 Docker Swarm、第三方工具等内置的密钥管理功能。


这样做的原因:使用密钥管理工具来存储和管理密钥,可以确保密钥不是明文可见的,但如果将密钥存储在环境变量中,攻击者就会很容易地找到密钥。密钥管理工具可以在容器运行时将密钥注入容器中,既可以实现敏感数据的保密性和完整性,也可以作为一个抽象层,将容器和凭据区分开。

6、实施 PID 限制


容器的一个重要优势是执行严格的进程标识符(PID)控制。内核中的每个进程都有一个唯一的 PID,容器利用 Linux 的 PID 命名空间为每个容器提供一个单独的 PID 层次结构视图,通过 PID 限制可以有效地限制每个容器中运行的进程数。


这样做的原因:限制容器中的进程数量可以防止衍生过多的新进程,也可以防止潜在的恶意横向移动。实施 PID 限制还可以防止出现 fork 炸弹(进程不断自我复制)和异常进程。大多数情况下,如果服务始终运行特定数量的进程,那么将 PID 限制设置为一个确切的数量可以减轻许多恶意行为,包括反向 Shell 和远程代码注入。

总结

在将业务应用迁移到容器环境中时,做好以上 6 个注意事项,可帮助安全人员大大减少攻击面。安全性是一个持续的过程,青藤蜂巢能够在构建、分发和运行的全生命周期内,有效保护容器和云原生应用的安全,加快应用的部署速度,加强 DevOps 和 IT 安全之间的协作。青藤蜂巢可实现对容器活动的全面可见性,让组织机构能够实时检测和预防可疑活动和攻击。此外,通过集成容器及容器编排工具,青藤蜂巢实现了安全的透明化与自动化,助力企业实现策略控制,满足合规要求。

用户头像

还未添加个人签名 2021.11.03 加入

还未添加个人简介

评论

发布
暂无评论
青藤:业务迁移到容器云上的6个注意事项