容器安全的风险应对及 Twislock 容器安全方案| 学习笔记

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 快速学习容器安全的风险应对及 Twislock 容器安全方案。

开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :容器安全的风险应对及 Twislock 容器安全方案】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/628/detail/9883


容器安全的风险应对及 Twislock 容器安全方案

 

目录:

一、总结-多租安全加固

二、容器安全的场景

三、通过 Twsitlock 实现全生命周期的安全管理

四、Twistlock 产品亮点

 

一、总结-多租安全加固

RBAC 和基于 namespace 的软隔离是基本且必要的安全措施

使用 PSP(Pod Security Policies)对 Pod 的安全参数进行校验,同时加固 Pod 运行时刻安全.使用 Resource Quota & Limit Range 限制租户的资源使用配额

敏感信息保护(secret encryption at REST)

在应用运行时刻遵循权限的最小化原则,尽可能缩小 pod 内容器的系统权限

使用 NetworkPolicy 进行业务应用间东西向网络流量的访问控制

Log everything

对接监控系统,实现容器应用维度的监控

第二讲容器安全的风险应对以及  Twislock 容器安全方案。

容器环境的设置和部署、访问控制、数据保护都是用户的责任。

有时候,容器环境的缺省设置是为了方便开发、调试。对于外界的访问控制非常薄弱生产部署还要参考公有云厂商的安全最佳十诫。

阿里云云原生公开课第27讲安全是访问控制提供了非常详细的讲解。对于强化Cuba nuts 安全配置非常有帮助。

采用公有云厂商提供的安全产品也是非常重要的。一般容器部署,共用主机内核。如果一个容器被入侵。就有可能造成容器逃逸。造成同一主机上运行的其他容器被入侵。阿里云最近推出的ACK安全沙箱容器。可以让应用运行在一个轻量虚拟机沙箱环境中拥有独立的内核具备更好的安全隔离能力。

 

二、容器安全的场景

CI/CD 安全:

DevOps 可以将安全集成到 CI/ CD 原生工具中,而不是事后在产生中修复安全漏洞。这使开发人员可以快速反馈其代码的安全状态。

容器安全的场景还有很多。看看与 CI/CD 流水线集成的成绩。由于云原生应用分散多元和变化迅速地特性。如果只监控生产环境。往往在生产环境中发现了安全漏洞已经为时太晚,修复非常困难。如果能提供安全工具让 DevOps 可以将安全集成到CI/CD 流水线云原生工具中。开发人员就可以快速反馈其代码的安全状态。

可以做到在集成之前就将漏洞修复。那么设置安全规则的场景,如果一个镜像具有严重漏洞,而且供应商已经提供了补丁修复程序,安全规则,就应该防止这个镜像进入流水线。还应该防止有严重漏洞的容器。

部署到生产环境,社会比只监控生产环境有效的得多,安全人员希望通过功能强大的仪表盘轻松查看最容易受攻击的主机镜像和容器希望安全工具具有持续可见性和排除风险优先级,可以帮助开发人员和 DevOps 团队,优先修复最严重的漏洞,这些仅仅是很多,安全场景中的几个例子。那么有没有一个安全工具?可以涵盖大部分的安全场景?

第一讲提到推 Twislock 的联合创始人  John Morello 是 NIST 800-190 应用容器安全准则的主要撰稿人。

这个安全准则全面讨论了各种容器安全的场景,和应对措施,Twislock 设计理念就是要涵盖。容器安全的大多数的场景 Twislock 可以保护容器相关的多个平台为主机容器 serviceless 的应用提供全面的保障,Twislock,还与云原生应用的 CSCD 流水线集成,并融合到应用程序的整个生命周期中,会通过以后的课程陆续介绍。

Twistlock 的各种性能。以及他们应对的安全容器安全场景。

安全策略的执行:

安全团队希望创建安全检查来真正阻止代码的构建或部署。例如,如果一个镜像具有严重漏洞而且供应商已经提供了补丁修复程序,就应该阻止这个的容器镜像构建或部署。

让我们修复它,而不是部署!

持续可见性和排出风险优先级:

安全团队希望通过功能强大的仪表盘轻松查看最易受攻击的主机,镜像和容器,他们就可以将反馈传递回开发人员和 DevOps 团队。

Twistlock 为云原生应用提供安全保障

对主机、容器和 Serverless 应用提供全面保障

与整个应用程序生命周期相集成

 

三、通过 Twsitlock 实现全生命周期的安全管理

开发

将 Twistlock 与您正在使用的任何 CI 工具集成,以便为容器,主机和serverlessfunctions 提供漏洞扫描,合规性扫描以及恶意漏洞的阻断。

部署

持续监控您的镜像仓库,以确保始终将安全代码和安全的镜像投入生产环境

运行

使用云原生防火墙、强大的 Run Time 保护和 Access Control 访问控制来保护正在运行的应用程序,提供深度防御以阻断攻击。

简单介绍一下。Twistlock如何提供全生命周期的安全管理。应用生命周期分为开发、部署、运行三个阶段。每个阶段都会使用各种第三方的工具和产品。Twistlock 与各种流行工具和产品相集成以做到提供全生命周期的保护。

在开发阶段将 Twistlock 以正在使用的任何 CI 工具集成。

以便为容器,主机和 serverlessfunctions 提供漏洞扫描,合规性扫描以及恶意漏洞的阻断。

在部署阶段。持续监控,监控镜像仓库。以确保始终将安全的代码。

和安全的镜像。镜像投入生产环境。

在运行阶段。使用云原生防火墙、强大的 Run Time 保护和 Access Control访问控制来保护正在运行的应用程序,提供深度防御以阻断攻击,以阻断骇客入侵。

Twistlock 平台,根据云原生容器环境的特点。将自动化、可视性和预防功能作为产品的三大支柱,可在运行时保护,云原生应用程序。

Twistlock  给提供的所有功能,都与三个支柱保持一致。

Twistlock 自动建立安全规则不需要任何人为设置。容器环境中。应用和应用版本频繁更新。

应用的部署会经常随着流量扩容或者缩容。Twistlock 能够自动建立安全规则,保护迅速变化的生产环境。Twistlock 提供强大的可视性,用户可以准确的实时的查看容器环境的运行,仪表盘雷达图能够清楚的显示容器环境中所有应用部署,以及应用之间的访问,漏洞,监视仪表盘可以实时显示镜像,镜像仓库、容器、主机的漏洞,并根据危害分类。比如如果容器连到公共 Internet。这个容器中的漏洞,就会获得优先严重的等级。

image.png

Twistlock 的预防功能,在于它不但能够及时报警,还可以真正防止不良行为的发生,Twistlock 的纵深防御结合了应用程序行为的四维模型与云原生第三层和第七层防火墙相结合。Twistlock,可以预防有严重漏洞的应用进入流水线。Twistlock 可以阻断异常的进程网络行为系统调用或文件系统访问。

Twistlock 可以防止常见的 wap 攻击阻断在已知 Twistlock 网络中不存在的服务访问。

Twistlock 的功能涵盖了应用程序开发、部署、运行的整个生命周期。从这张图可以看到各个主要模块。涵盖了生命周期的不同阶段。

与 CI/CD 流水线的结合,涵盖了开发和部署,漏洞管理防护,合规性检查涵盖了开发部署运行的整个生命周期。

而运行时保护。云原生防火墙以及访问控制是对运行阶段。

 

四、Twistlock 产品亮点

对镜像和镜像仓库的持续漏洞扫描

排序出真正具有高风险的 Top 10漏洞

运行时保护和云原生防火墙

自主学习进程、系统调用,文件访问和网络行为并建立控制模型。对挖矿、后门账号、K8S攻击、进程劫持、数据泄露等高危事件进行告警或阻断。

合规控制

GDPR, PCI, HIPAA, NIST 等合规模板,控制粒度可以详细到每一条基线和 Action

与 CICD 流水线集成

设置漏洞及 合规阈值,扫描 Jenkins 等 CI/CD 工具, 阻止有问题的镜像进入流水线。

回顾一下 Twistlock 的产品亮点。

Twistlock 能够持续自动扫描正在运行的容器中的所有镜像,扫描包括镜像中所有内容操作系统。应用程序组件。以及已经安装的软件和实用程序。

镜像是有30多个情报员,结合镜像高级威胁情报和研究实验室,实现接近0误报,都是 bug 都会被修复、推算,可能会自动根据容器环境和漏洞威胁因素来定义威胁优先级排出高风险的 Top 10漏洞,用户可以根据基于阈值漏洞分析发出警报,如果容器使用漏洞数量大于阈值的镜像。Twistlock 能够阻止容器的部署。

用户还可以设置镜像仓库扫描已自动扫描镜像仓库中的所有景象。通过 Twistlock 控制台查看镜像仓库的镜像扫描报告。推送到镜像仓库的心境下可以在24小时内自动生成扫描包。

Twistlock 运行时防御是为运行中的容器提供前瞻性的和基于威胁的积极保护。

前瞻性保护,包括发现容器运行了,原始镜像中不存在的进程或创建了异乎寻常的网络连接。基于威胁的保护,包括检测出恶意软件混若容器。或者将容器。连到了僵尸网络,Twistlock 运行时防御不需要手动建立安全规则。

Twistlock 是通过自主学习进程系统调用文件访问网络行为来建立针对特定服务的控制模型,运行时防御可以对容器中的异常行为报警或阻断。Twistlock 的云原生应用防火墙。可以保护容器中主机上。或者在 service 环境中运行的 web 服务。Twistlock 可以监视进入外部服务的信息流,并阻止。

向C 口注入跨站脚本攻击,跨站请求伪造和其他常见的 web 攻击。

Twistlock 给提供了云原生网络防火墙是第三层 micro segment ID。

微切分针对容器的防火墙。用来控制在容器之间。以及基于主机服务之间的网络连接。

Twistlock 会自动构建容器到容器通讯,已知网络的拓普。并显示在雷达仪表盘上。一旦构建并激活了此拓普就可以设置云生网络防火墙。来阻止任何。不在已知拓朴中的新连接请求,并生成警报。

拓普可以监视和执行整个环境中的合规性,拓普包括了300多种合规设置的检查。其中大多数来自 CS holes,Docker,cube analysis bench marks,推辞了对镜像容器主机执行这些检查,Twistlock 合规检查,支持 GDPR, PCI, HIPAA, NIST 等合规模板。

用户能够,查看当前部署的所有镜像扫描报告,查看违反合规性规则的设置细节,发出警报或者阻止部署,使用违规镜像的容器,或者阻止在违规主机上部署容器,Twistlock 能够与 CI/CD 流水线集成。并在此AI工具和控制台中查看扫描报告。

用户可以设置漏洞及合规阈值,扫描 Jenkins 等 CI/CD 工具, 阻止有问题的镜像进入流水线。

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
2月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
2月前
|
Kubernetes API Docker
跟着iLogtail学习容器运行时与K8s下日志采集方案
iLogtail 作为开源可观测数据采集器,对 Kubernetes 环境下日志采集有着非常好的支持,本文跟随 iLogtail 的脚步,了解容器运行时与 K8s 下日志数据采集原理。
|
2月前
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
|
3月前
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
|
3月前
|
容器
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Group Box的使用及说明
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Group Box的使用及说明
250 3
|
3月前
|
容器
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Tab Widget的使用及说明
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Tab Widget的使用及说明
87 2
|
3月前
|
移动开发 小程序 前端开发
跨端技术演进问题之Web容器方案在跨端开发中的优势和不足如何解决
跨端技术演进问题之Web容器方案在跨端开发中的优势和不足如何解决
|
5月前
|
Cloud Native 安全 Docker
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
120 5
|
5月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
130 3
|
5月前
|
Docker 容器
蓝易云 - Docker修改容器ulimit的全部方案及各方案的详细步骤
以上就是修改Docker容器ulimit的全部方案及其详细步骤。
259 2