美国国家标准技术局发布应用容器安全指南  -阿里云开发者社区

开发者社区> shev> 正文

美国国家标准技术局发布应用容器安全指南  

简介: 美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。  NIST的计算机安全研究中心(CSRC)负责监管NIST的数字和信息相关的项目和出版物。
+关注继续查看

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。
 
1111

NIST的计算机安全研究中心(CSRC)负责监管NIST的数字和信息相关的项目和出版物。该公告对之前的两份有关应用容器安全的出版物进行了总结,它先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。
 
容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题。安全工具和流程并不能保证容器所运行环境绝对安全,因为特定的环境可能包含很多安全漏洞。
 
容器使用了不可变模型,每当一个新版本的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更(比如一个操作系统镜像),应用开发者就必须为相应的应用生成新的镜像。将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队应该在这方面拥有更多的经验,所以说这也是一个潜在的问题。
 
NIST发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。
 
容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置(在高级别权限模式下运行)也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞。每一个主机操作系统都有一个“攻击面”,攻击者通过这个攻击面对操作系统发起攻击。主机一旦受到攻击,主机上的容器也难逃厄运。共享内核的容器会加大攻击面。
 
应对措施需要从最底层开始——也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。之前关于容器安全的研究也提到了类似的内容。

**Ghostcloud精灵云

Ghostcloud精灵云是国内首批从事容器虚拟化研发的企业,其产品企业级容器云PaaS/CaaS平台EcOS,与微服务/DevOps相融合,致力于为企业提供互联网化、私有云管理平台、大数据业务基础架构等服务,帮助客户降低成本、提升效率、简化运维及产品部署,提升系统可靠性和安全性。目前在金融、制造、能源、政务等领域有超过50家的客户。

双软认证企业
菁蓉杯2016创业大赛冠军
通过全国高新技术企业认定
通过ITSS云计算服务能力标准认证
2017德勤-成都高新创新创业明日之星
入围2017年云计算领域“奥斯卡”云鼎奖
荣获2017中国云计算500强|PaaS平台服务商
创富中国2016年度总决赛最受媒体欢迎企业
天府(四川)联合股权交易中心双创企业板挂牌企业
全球首批CNCF官方认证Kubernetes核心服务提供商
阿里2016云栖大会CACSC全球总决赛「十大优秀企业」
**
本篇文章来源于 Linux公社网站(www.linuxidc.com) 
原文链接 http://www.linuxidc.com/Linux/2017-12/149235.htm
作者:Hrishikesh Barua ,译者 薛命灯

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
共享容器——URLOS最新发布的一项超强功能
共享容器是指将多个服务(例如网站)放在同一个容器中运行,它们共享同一个运行环境。它区别于URLOS传统的独立容器部署方式,将多个网站放在一个容器中运行,有利于节省主机资源。
193 0
国内首个云上容器ATT&CK攻防矩阵发布,阿里云助力企业容器化安全落地
本文对云上容器ATT&CK攻防矩阵做了详细阐述,希望能帮助开发和运维人员了解容器的安全风险和落地安全实践。
6641 0
应用程序跑在Docker容器中会更安全
Docker对安全的支持是与生俱来的。作为一个平台,Docker为跑在其中的所有应用程序提供安全保障,不需要在Docker之外,单独部署一套安全解决方案。
2080 0
VMware顺容器之势而为,发布开源项目Lightwave和Photon
本文讲的是VMware顺容器之势而为,发布开源项目Lightwave和Photon,【编者的话】VMware是老牌的虚拟化技术提供商,但Docker等容器技术对其核心业务造成了不小的冲击,为了应付这种冲击,并顺应潮流,VMware发布了两个新的开源项目,Project Lightwave和Project Photon,这两个项目都是致力于提高云应用以及企业架构的扩展性。
1143 0
阿里云容器网络文件系统 CNFS 1.0 发布,体验云原生时代的容器共享存储
简介:CNFS 通过将阿里云的文件存储抽象为一个 Kubernetes 对象(CRD)进行独立管理,包括创建、删除、描述、挂载,监控及扩容等运维操作,使用户可以在享受容器使用文件存储带来的便捷的同时,提高文件存储的性能和数据安全,并提供容器一致的声明式管理。
121 0
谷歌助力,快速实现 Java 应用容器化
原文地址:梁桂钊的博客 博客地址:http://blog.720ui.com 欢迎关注公众号:「服务端思维」。一群同频者,一起成长,一起精进,打破认知的局限性。 Google 在 2018 年下旬开源了一款新的 Java 工具 Jib,可以轻松地将 Java 应用程序容器化。
1172 0
应用容器化优化指南 - Golang篇
前言 随着容器技术的兴起,越来越多不同类型的应用开始使用容器的方式进行交付。Golang作为服务器端非常热门的一门语言同时也是容器技术的主要编写语言备受关注。那么将一个Golang应用进行容器化的时候,需要注意哪些事情,在出现问题时该如何进行调优和诊断呢? 先谈谈Golang本身的设计 Golang是谷歌发布的第二款开源编程语言。
3236 0
借助阿里云ECS实现传统.NET应用容器化(上)
我们都知道.NET Core应用可以跑在Docker上,那.NET Framework 4.x应用呢?借助阿里云ECS主机(Windows Server 2019 with Container版本),一切变得So Easy!
303 0
+关注
shev
精灵云(www.ghostcloud.cn)联合创始人,20年编程经验,全栈工程师,曾任索贝数码及赛门铁克架构师架构师,精通分布式系统开发,2013年开始研究LXC和Docker相关技术,目前主要从事容器云平台研发工作。
65
文章
2
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载