容器优化了开发人员的体验。 在容器中构建应用程序使开发人员可以在任何计算机硬件,基础架构或云环境中顺利运行应用程序。 容器运行时抽象了由操作系统(OS)和底层基础结构的差异引起的问题。 但是,与任何技术一样,在使用容器时可能会有所取舍。 容器基础结构的复杂性,如果不能正确解决,可能会带来严重的安全风险。 在开发流程的每个阶段都存在对容器的威胁。
[阅读:检查对容器环境的潜在威胁]
为了最大程度地减少在容器中构建容器的风险,这是我们白皮书“全面容器安全的六步骤”中的六个步骤。 1.固定容器主机。 容器应托管在以容器为中心的操作系统中。 如果删除了不需要承载容器工作负载的服务,则会减少总体攻击面。 应该添加监视工具,以提供有关主机健康状况的可见性。 为了确保容器主机系统的安全,应使用一组强大的安全控件,例如趋势科技™趋势科技服务器深度安全防护系统解决方案中可用的控件。 如果适当地保护了运行所有容器工作负载的这些系统的完整性,则将确保它们的完整性。 2.保护网络环境。 利用诸如入侵防御系统(IPS)和Web过滤之类的控件来处理从北向南,往返于Internet的流量,以阻止攻击并过滤恶意内容。 为了监视容器间的流量,还应该部署IPS。 内部流量监控对于您的防御至关重要,因为已经在网络中立足的攻击者可以快速横向移动以扩大其覆盖范围。 3.保护您的管理堆栈。 容器注册表应得到适当保护和监视。 Kubernetes安装应该被锁定。 此外,应利用Pod和网络策略等功能来实施组织的安全和开发标准。 当将每个容器添加到容器注册表中时,应使用安全工具(如趋势科技趋势科技服务器深度安全防护系统智能检查)来扫描和验证每个容器的配置。 这样可以确保仅部署符合团队开发和安全标准的容器。 [如何保护基于Kubernetes的部署不受威胁] 4.建立在安全的基础上。 审查并观看项目团队有关应用程序中使用的依赖项的通信。 修补软件时,需要将这些更改集成到应用程序中以降低风险。 使用容器趋势科技服务器深度安全防护系统智能检查等容器图像扫描仪,确保容器没有恶意软件或已知漏洞,并且没有暴露的秘密。 这还将扫描自定义的危害指标(IoC)。 通过使用容器图像扫描仪,您可以在进一步开发或部署到生产之前减轻风险。 5.保护您的构建管道。 开发人员工作站应安装有强大的端点控件,这些控件可以在趋势科技Apex One™解决方案中找到。 这样做有助于防止恶意软件,访问恶意网站以及其他安全挑战和容器威胁。 必须实施一种彻底而一致的访问控制方案。 维护管道完整性的关键步骤是确保只有授权用户才能访问代码存储库,集成分支并触发推向生产的版本。 运行上述工具的服务器也应得到保护。 使用趋势科技趋势科技服务器深度安全防护系统等安全工具可以以最小的开销提供一组强大的控件,从而帮助您的团队达到安全目标和标准。 6.保护您的应用程序。 该守则应遵循最佳做法,以提高其质量。 毕竟,简单的错误或较差的设计选择都可能导致许多安全漏洞。 在确保代码质量上投入时间和精力总是会带来安全红利。 运行时自我保护控件应用于帮助将安全漏洞与特定代码行中的问题联系起来。 这样做可以消除根本原因分析过程中的差距,并可以实现更好的安全性结果。 [2020年的应用程序安全性-您需要了解的内容] 关于保护容器的最后一句话
容器技术的使用提高了开发过程的速度和效率,同时保持了整体一致性。 但是,对容器的威胁最近开始出现,因此必须正确保护容器以阻止组织的潜在风险。 幸运的是,尽管开发人员需要考虑开发过程和支持基础结构的许多方面,但上述步骤可以帮助确保容器的有效性。
趋势科技可以通过Trend Micro™混合云安全解决方案帮助DevOps团队安全地构建,快速运送并在任何地方运行。 该解决方案在组织的DevOps管道内提供了强大,简化和自动化的安全性,并提供了多种XGen™威胁防御技术来保护运行时的物理,虚拟和云工作负载。 它由Cloud One™SaaS平台提供支持,该平台通过其网络安全性,工作负载安全性,容器安全性,应用程序安全性,文件存储安全性为组织提供了一个单一窗格,可对其混合云环境和实时安全性进行一目了然的查看 以及整合服务。 了解有关保护云原生应用程序开发的更多信息。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢