确保软件供应链安全需要从容器开始的 10 个原因

共计 2958 个字符，预计需要花费 8 分钟才能阅读完成。

原作者：Louis Columbus
文章出处：https://venturebeat.com/security/10-reasons-why-securing-software-supply-chains-needs-to-start-with-containers/
编译：裴先生笔记

容器和 Kubernetes 是多云应用程序开发的桌面桩，也是软件供应链中受保护最少的领域之一。Kubernetes 占据了 92% 的容器编排平台市场，尽管 DevOps 团队认为它是一个不太安全的容器平台。由于其可移植性、开源架构、易用性和可扩展性，它已成为容器平台的事实标准。

云原生计算基金会最近发布的 Kubernetes 报告发现，28% 的企业有超过 90% 的工作负载运行在不安全的 Kubernetes 配置中。大多数工作负载（超过 71%）以 root 访问权限运行，增加了系统泄露和敏感数据暴露的可能性。许多 DevOps 组织忽视了将 readOnlyRootFilesystem 设置为 true，这使得他们的容器容易受到攻击和写入未经授权的可执行文件。

容器是软件供应链中增长最快也是最薄弱的环节

Gartner 预测，到 2029 年，将有超过 95% 的企业在生产中运行容器化应用，与去年不到 50% 的比例相比有了大幅提升。五年后，35% 的企业应用将在容器中运行，80% 以上的商用现成 (COTS) 供应商将以容器格式提供软件，而去年这一比例还不到 30%。容器及其协调平台正在主导企业的 DevOps 和 DevSecOps，并将加速发展。

然而，容器是软件供应链中最薄弱的环节之一。从错误配置的云、容器和网络配置，到项目生命周期中谁拥有容器安全的混乱，企业正在努力控制容器安全。攻击者正在利用容器镜像、运行时、API 接口和容器注册表中日益增多的漏洞，对这些脱节现象加以利用。不安全的容器即使有任何身份安全措施，也是内部攻击者的金矿。

如果容器镜像不安全，攻击者就会迅速超越最初的威胁范围，侵入整个网络和基础设施。大多数攻击平均在 277 天后才会被发现，而且时间可能更长，这取决于企业的监控是否有效。

确保集装箱安全拯救供应链的十种方法

从镜像漏洞到不安全的容器运行时配置以及运行时软件中的漏洞，容器经常由于配置薄弱或不一致而失败。市场上没有一种解决方案可以解决所有这些挑战；需要在 DevOps、DevSecOps 和软件工程中进行变革管理，才能帮助提高容器的安全性。

从 NIST 的《应用容器安全指南》（NIST SP 800-190）开始学习是个不错的选择。该指南深入评估了与容器相关的潜在风险，并提供了降低风险的实用建议。根据 NIST 的说法，”容器的使用将大部分安全责任转移给了开发人员，因此企业应确保其开发人员拥有做出正确决策所需的所有信息、技能和工具”。NIST 建议让安全团队能够在整个开发周期中定义和执行质量。

1. 首先安装特定于容器的安全工具。如果还没有专为保护容器而设计的安全工具，则应定义一个经济、可行的安全工具路线图。安全团队首先要使用专为管理漏洞、执行访问控制和确保合规性而设计的工具。例如，用于漏洞扫描的 Red Hat Clair、用于 Kubernetes 映像扫描和分析的 Anchore 以及用于合规性检查的 OpenSCAP 等工具。
2. 执行严格的访问控制。对于任何追求零信任框架的组织来说，对每个容器执行最少权限的访问对于降低漏洞风险至关重要。这尤其适用于管理员访问权限和特权。CrowdStrike 的 Falcon Cloud Security、Ivanti 的 Identity Director 和 Portnox 的云原生 NAC 解决方案等厂商都提供这方面的解决方案。
3. 定期更新容器映像。与任何企业系统或 DevOps 组件一样，保持最新的安全更新至关重要。专门用于自动更新 Docker 镜像的 Watchtower、管理符合 OCI 标准的容器的 Podman 以及允许添加新镜像的 Google Cloud 的 Artifact Registry 都提供了帮助平台团队确保镜像更新和安全的工具。许多 DevOps 和 DevSecOps 团队都在自动进行安全更新，以确保不会错过任何更新。为了确保镜像的安全性，最好养成定期进行审核的习惯。
4. 在 CI/CD 管道中实现安全自动化。如果尚未在 CI/CD 管道中集成自动安全检查，请开始将其集成到 CI/CD 管道中，以便及早发现漏洞。最好使用特定于容器的工具进行静态代码分析和运行时扫描。始终检查以确保镜像来自可信的注册机构。Alert Logic（以实时威胁检测和事件响应著称）、Anchore（以容器映像漏洞管理著称）和 Aqua Security（以全面的容器安全性著称）是这一领域值得关注的三家供应商。
5. 进行彻底的漏洞扫描。任何旨在保护容器安全的工作流程都需要包括对容器映像和注册表进行定期漏洞扫描。这些扫描的目的是识别安全风险，防止部署有漏洞的容器。提供漏洞扫描的主要供应商包括 Aqua Security、Qualys（在合规性和漏洞管理方面广受认可）以及 Sysdig Secure（因其容器运行时防御和云本地应用程序保护平台功能而闻名）。
6. 有效管理机密。正确管理机密是保证容器安全的核心领域。由于文本机密进入了容器镜像，因此发生了泄密事件。必须使用容器镜像签名来增强安全性，确保镜像得到验证和信任。此外，最好使用出处验证工具来帮助确保软件供应链的安全，维护软件组件的完整性和真实性。
7. 隔离敏感工作负载。对于追求零信任框架的组织而言，隔离概念是其自然条件反射的一部分。在确保容器安全时，物联网也应如此。根据数据的敏感和机密程度隔离容器。通过层层身份访问管理（IAM）和特权访问管理（PAM）保护容器内容。通过能够适应和灵活应对容器和 Kubernetes 工作流快速变化的分段，全力确保工作负载的安全。
8. 使用不可变基础设施。不可变基础架构的概念是，服务器一旦部署，就永不修改。如果需要更新或修复，就会创建新的服务器，并从带有新添加或更改的通用映像中调配，取代旧的服务器。AWS Fargate、Docker 和 Google Kubernetes Engine 是提供基于容器和 Kubernetes 的不可变基础架构的领导者。
9. 实施网络策略和分段。提高对网络流量如何流经网络的可视性，可提供进行正确分段所需的宝贵数据。这对于定义安全限制和提供遥测数据也是非常宝贵的，领先的供应商都希望利用这些数据来训练他们的大型语言模型（LLM）。领先的供应商包括 AlgoSec、思科和 Check Point Software Technologies。这些公司都提供了用于维护合规性、执行策略和管理安全操作的应用程序和工具。
10. 实施先进的容器网络安全。确定网络集成点在哪些方面可能失效或被攻击者攻破，这就是为什么需要采取额外措施来保护容器安全。超越容器本身并保护其跨网络接入点是关键所在。思科、CrowdStrike、Ivanti、Palo Alto Networks 和 VMware/Broadcom 都提供了高级容器网络安全，作为其平台的一部分。要想获得先进的容器网络安全，就必须采用集成方法，而单一供应商很可能无法满足企业更复杂的网络配置要求。

VentureBeat的使命 是成为技术决策者获取变革性企业技术知识和进行交易的数字城市广场。了解我们的简报。