开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :容器的合规性审核(一)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/628/detail/9874
容器的合规性审核(一)
目录:
一、合规性检查
二、使用预建模板实施合规策略
三、使用 Compliance Explorer 实时可视化合规状况
四、演示内容
一、合规性检查
容器和云原生网络安全生态系统的积极贡献者
在 Docker 中构建授权框架(authorized Framework)
经过官方认证可实现 Docker,Kubermetes 和 Linux CIS 基准测试
为 Docker Swarm 构建 secrets capabilities
参与编撰了专注于容器安全的 NIST Special Publication 800-190
在 Istio 服务网格上发布了第一份正式的安全性和合规性指南
Kubecon 与 CNCF 基金会的白金赞助商与理事会成员
Compliance Explorer 提供了审计就绪的实时和历史视图,可查看您环境的合规状态。
包括针对 HIPAA, PCI,GDPR 和 NIST SP 800-190 的预制模板,以及针对 AWS,Docker,Kubermetes 和 Linux CIS 基准测试的400多种认证检查
加强软件开发各个阶段的合规性(警报或阻止), 并可与任何 CI/ CD 工具集成
//容器的合规性的检查,以及演示。
//首先在整个云原生的这个,生态系统里面,也是一个积极的贡献者,其实跟合规性检查这个相关的一个是 Twistlock的这个联合创始人。专门参与编撰了这个关于人身安全的这样一个标准。这个800-190的这样一个标准,是特别是针对应美国政府的要求写的这样 针对容器的安全的标准。
同时,其实在整个云原生的这样一个生态系统里面。Twinstlock 也是做了很多的一些贡献。比如说Istio服务网格上发布了第一份正式的安全性和合规性指南。同时,也是 Kubecon 与 CNCF 基金会的白金赞助商与理事会成员。
经过官方认证可以实现 Docker 和 K8S,包括 Linux 的基准测试等等,这些的贡献,包括有这样的一些能力,把这些安全的标准,集成到了整个一个 Twinstlock 的这样一个合规性检查的这个服务当中。在合规性审查的这一个功能里面。它可以提供实时的一个视图,包括可以看,历史的一些试图,那帮助保证现在是合规的,同时也帮助的一些 Audi 的一些流程,能够很方便的去知道历史的一些情况。
//然后,也是整个 complaince 的这个检查,也是可以与 CI/CD 的一些工具进行集成,介绍怎么与CS的支撑,以及怎么在流水线里面自动加入这个合规性的检查,整个过程是非常简单直接的。
二、使用预建模板实施合规策略
模版有:
GDPR
PCI
HIPAA
NIST SP 800-190
轻松利用 CIS 基准
包括
Docker CIS v1.1.0
Kubernetes CIS v1.4.0Linux CIS v1.1.0
AWS CIS
Istio checks developed by Twistlock Labs
Custom compliance checks
Trusted image 控制
base layers, image groups,或者 repository access
自动将已知镜像列入白名单,以轻松创建安全的镜像基准
对开发人员可以使用的镜像或 Layer 进行管控
创建特定的允许或拒绝的镜像组
//预见模板的这个配置的界面,首先,在这个 compliance temlate 里面,预测的有四个,GDPR、PCI、HIPAA、NIST SP 800-190
每一个点进去了以后,它会有不同的建议,下面会自动的检查项的配置会不一样。也是根据这四种不同的这个 PA、 PR 的,包括 PCI 的这些标准,就进行定义的,这些合规性检查的重要性,因为包括像 GDPR 的举个例子,就是它的赔付的比例的金额是非常巨大的。
所以,能够有一个实时的这样一个合规性的检查,会帮助避免很多的类似今后的一些风险,包括能够通过一些合作性的这些 audit。所以,在这一块儿,已经帮预置了这些国际主流的这安全的一些标准。同时,也支持客户的自定义。那客户的自定义,也非常简单,不需要重新去写每一个 policy 具体是怎么样。
提供的这个模板,只需要在这个模板上面,比如说以 GDPR 为标准在里面某一些条款,觉得做的需要比 GPS 更好,或者说是根据公司的一些策略,可以进行添加或者减少这些 policy。那在这个,这些合规项里面,分的会比较细,比如说针对于 Windows host,需要单独列出来看。
或者针对于 DRCS 的这样一些标准,Host computer security operation 等等。以及,针对于这个K8S集群的,这个master worker 和那个联盟,也有非常详细的,可以单独拿出来,包括针对 Linux 主机的也会有。就是它的功能都已经非常细化的东西区分开来。
同时,还有一个功能,是所谓的叫 trustedimage,也就是说信任的镜像。那为什么这个会比较重要,而且比较好的这样一个功能,因为比如说在 docker 上面有很多的这样一些恶意的镜像,怎么去控制这些恶意的镜像不会被用户也好,或者开发人员。
甚至是比如说黑客,如果黑到集群里面。会去从这些公有的的网上去拉下了这些恶意的镜像。那怎么去做一些控制,理念是会装完 Twistlock 以后,它会进行继续的学习,首先,它会自动的学到在这个环境里面,哪一些是合法的,或者说已经部署的这样一些镜像,也会建立一个白名单。
这些就定义为是 trusted image,这些,比如说某一些私有的镜像仓库,那它会自动学过来,觉得这是一个trusted image。然后,它会进行一个锁定,那除了这一个所知道的这些 trustedimage 以外。所有额外的这些镜像,都会可以去 block 掉来生产新的容器。所以这样一个环境里面,对于安全人员就有一个非常大的一个可控性,知道哪些镜像在集群里面是可以运行的。
甚至可以,针对于这些镜像进行管控。比如说在右边的话,建一个 trust,可以定义,就是说,在之前机器学到的这些白名单上的人,可以手动的去添加哪些加进白名单,或者可以去额外的去指定哪些是黑名单。这些都是可以进行控制的,那在添加 Trusted image 这个组的时候,镜像组的时候,它可以分成两种,一个是通过 image 的 image 的名字来进行定义。
另外一个,可以做得更细,可以针对于这个 base layer,也就是说,比如说像这个 index 的这样一个镜像。有以下三个baseslay,任何的镜像只要存在有3个 base layer 的,就可以做允许或者 block 的这样一个策略,那这个 base layer,也做了非常多的一些集成,不需要手动去写,在这里,它有一个 input 的一个按钮。只要按一下,它会自动的,会把这个镜像里面的 base 会把它输入出来,这也是非常方便去配置这样一个管理。
