往返集装箱化工作载量:安全瀑布和如何用可耐云安全躲避
![可耐云安全令你保护容器](http://www.yyueer.com/zh-cn/sites/default/files/images/articles/How%20Tenable%20Cloud%20Security%20Lets%20You%20Protect%20Containers.jpeg)
可租云安全现在包括内置容器安全功能,这样你就可以检测和防止安全容器被部署生产在这个博客中,你将学习Tenable能帮助你避免临界容器安全错误
公司从云中取容器时,往往不自觉沿途接受漏洞发生这种情况有各种原因举例说,有些公司可能缺少所需流程复杂Kubernetes环境安全.同时 其他人可能缺集中策略并尝试执行过多工具和政策引起警讯超载 队间混淆 安全漏洞不论原因如何,容器化应用开发过程都可能成为安全隐患的雷场。理解安全性问题是什么 和你能做些什么避免它们 实战的第一步 安全云量
集装箱安全管治
带容器安全可耐云安全工具等工具可以看到容器图像安全姿势和预部署寄存器安全姿势,并可见余云环境可耐云安全允许真DevsecOps安全团队可跨队制定安全标准并获得环境可见度,同时DevOps团队获取信息,以尽快在开发过程中补救漏洞和政策违规问题降低风险并授权DevOps团队将安全嵌入安全团队治理下的工作流
容器安全长期以来一直是可租平台的一部分,但现在这些能力得到了扩充和精简容器安全能力从开发者工作站扩展至图像寄存器,资产和发现归并到中央仪表板中提供可操作洞察力和KI加上现有基础设施全码扫描,可耐云安全提供完全代码对云安全
管理流程并进化满足容器基础设施安全需求是云中可耐客户成功必不可缺的
从大多数开发者从容器化应用入手:通过创建容器图像
Pitfall#1非扫描基础图像
DevOps常用方法使用公开基础图像存储器像DockerHub开发者可修改图像以适应项目需求然而,这并非无风险实现。使用预建公共图像时,可能不清楚图像最近是否维护,是否满足贵公司安全需求或是否隐蔽漏洞除公共容器基像外,开发商还定义自己的图像,这样可能使未经测试、不安全基操作系统使用自动化
如何避免这些陷阱
答案不是单方声明所有图像都需内部建云计算的一个大点是共享资源和最佳做法云端基础基础来源于深层开源历史.
安全团队可制定政策,确保开发者拉起Ubuntu基础图像时,必须确保它所有最新补丁并更新最新版也可以从利用互联网安全中心开始预加固图像建自常用操作系统,但设计上符合具体安全基准这些做法大大减少初始漏洞,产生远不那么警示噪声
可耐云安全系统可扫描并修复容器图像,作为局部构建过程的一部分可耐用扫描图片基于定制策略图像扫描易失性,以便在通过高自动化容器开发过程前修复
开发者建建这些容器图像后,图像置置存库和寄存器步骤常引出另一个常见容器安全陷阱-注册漏洞
itfall#2注册漏洞
恒定推送容器寄存器意味着保证进出物安全至关紧要容器寄存器公有或私有,误管存取权限和特权可能导致攻击者从根访问用户宿主环境过度优先容器图像不仅可用于横向爬行和利用构建过程其他部分的漏洞,而且还可浪费资源并驱动开销登记册还可能隐藏错误配置,推入生产前必须补救
如何避免这些陷阱
国家标准技术学院为登记册漏洞提供多项对策应用容器安全指南.一种计量表示登记册是设置上下文感知授权控件使用之地
组织可配置连续集成过程, 允许图像由授权人员签名并推送注册组织应将这些自动扫描整合到过程中, 以防止推广部署脆弱或配置错误图像, NIST指南读取
可耐云安全提供易损度和守法性评估用户可启动容器寄存器自动扫描并自动扫描管道中的文物随附脆弱度和达标度评估能力外,可点云安全嵌入式策略检测并纠正常见注册误配置
容器手工艺品离开寄存器后,通过管道移动,通过容器管弦平台部署集装箱管弦平台像库贝涅茨(K8s)复杂并非秘密安全可能具有挑战性,而且往往缺乏必要的可见性。库贝内特斯集群配置错误是最不稳定安全陷阱
Pitfall#3误配置库贝涅斯集群
库贝涅茨等容器管理平台不检查或验证所部署的容器,它们本身也可能配置错误NIST应用安全指南报告误配置管弦节点可增加风险,包括:
- 未经授权主机加入集群运行容器
- 单组主机折中表示全组折中-例如,所有节点共享同键对认证
- 管弦手与DevOps人员、管理员和主机互通非加密非认证
如何避免这些陷阱
容器管弦平台常配置速度而非安全性优先确保适当安全配置而不易移在同一应用容器安全指南报告中,NIST还说明保护管弦平台的对策
编程平台应配置提供特征,为所有应用创建安全环境指令设计者应保证节点安全引入集群,在整个生命周期内保持持久特征,并能够提供节点及其连接状态的精确盘点”,NIST指南读取
容器部署成像Kubernetes等局部管理软件时,可耐云安全可验证Kubernetes和云基础设施配置和访问控制策略用户还可以查看所有K8集群综合安全结果并钻入基于优先级的具体补救步骤可用云安全标识前五脆弱集群和环流中所有集群库贝涅斯安全姿态管理程序t能力
预防:容器化工作量密钥
可能你已经注意到所有漏洞解决办法中的一种模式-所有漏洞都发生在部署前并可以修复后再将容器投入生产这不是新原理上左转常选词云安全界多年以来极难左移点安全解决方案 只覆盖攻击表面可点一接触管理平台解决
可租云安全作为可租单接触管理平台的一部分,是唯一综合解决方案,它能提供对攻击面漏洞的洞察力和优先排序使用可耐性定义单项政策框架从构建到部署并使用持续存取风险云安全姿态管理CSPM和库贝涅斯安全姿态管理程序t(KSPM)解决方案运行时容器安全集成可耐云安全后,你可以看到容器图像、寄存器和库贝涅斯集群安全姿势与多维或多维相邻混合云部署
学习更多
相关文章
- 云头
- 容器安全
- 云头
- 容器安全