🔥 热搜 🔥
微 信 freewechat自由 微 信布 施 竟dnf私服百度baiduwhatsapp web贴吧open mp4 filedeepl
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
微 信 freewechat自由 微 信布 施 竟dnf私服百度baiduwhatsapp web贴吧open mp4 filedeepl
分类
社会娱乐国际人权科技经济其它
查看原文
其他

NIST.SP.800-190容器安全标准(中文版)正式发布

青藤云安全资讯 2021-04-16

关注公众号,留言获取报告

着云服务的快速发展,容器的使用日益普及,容器安全问题日益凸显。为了规范和指导容器的安全使用,很多安全组织机构都已开始着手研究容器安全相关的标准,例如美国国家标准与技术研究院(NIST)等权威机构。为解决在规划、实施和维护容器时遇到的问题,NIST发布了NIST.SP.800-190 APPLICATION CONTAINER SECURITY GUIDE。该指南总结概括了在容器使用过程存在安全问题,并针对这些问题提供了针对性对策建议。为了帮助更多安全从业人员能够阅读了解该标准,解决容器使用过程中遇到的问题,青藤云安全将在官网上正式发布《容器安全指南(中文版)》供大家免费下载。
下载链接:https://qingteng.cn/download.html

《容器安全指南》的主要内容分为以下部分:

Ø  第1节为文档内容简介。

Ø  第2节为容器简介,包括其技术能力、技术架构和用途。

Ø  第3节说明了容器技术核心组件的主要风险。

Ø  第4节针对第3节中确定的风险提供了对策建议。

Ø  第5节确定了容器的威胁情景示例。

Ø 第6节介绍了用于规划、实施、操作和维护容器技术的可行信息。

容器安全的五大风险

NIST 发布的容器安全指南列出了需要采取安全措施的五个方面,包括镜像、镜像仓库、编排工具、容器和主机操作系统。

镜像风险:有可能是镜像漏洞、镜像配置缺陷、嵌入式恶意软件、未被信任的镜像、明文存储的秘钥。

镜像仓库风险:包括与镜像仓库的连接不安全、镜像仓库中的镜像过时和不完备的认证授权机制,这些都会给镜像仓库带来风险。

编排工具风险:包括管理访问权限不受限制、未经授权的访问、容器间网络流量隔离效果差、混合不同敏感度级别的工作负载、编排工具节点可信。

容器风险:包括运行时软件中的漏洞、容器的网络访问不受限制、容器运行时配置不安全、应用漏洞、流氓容器。

主机操作系统风险:主要包括攻击面大、共享内核、主机操作系统组件漏洞、用户访问权限不当、篡改主机操作系统文件系统。

全生命周期的容器安全

容器的安全防护应该覆盖整个容器的生命周期,即容器的构建、分发、运行三个阶段,这样才能确保持续的安全性。

(1)容器构建安全性

由于容器中广泛使用开源软件,这增加了将漏洞引入企业应用程序的风险。应该在容器构建阶段扫描软件和Docker容器镜像,以发现漏洞,在解决问题之后再投入生产。因此,需要定期扫描镜像注册中心,以检测即将应用于生产中的容器镜像是否存在新发现的漏洞。

此外,容器构建通常都是单一功能,因此应该删除任何不必要的包、库和其他组件,对镜像进行精简、加固,减少容器攻击面。

(2)容器分发安全性

DevOps团队需要确保不会在生产中使用未经授权的镜像。为了确保这一阶段的安全性,需要进行安全认证,比如镜像签名和访问控制。应对镜像仓库、编排工具等其他开发工具设置统一的访问控制策略,集成到LDAP等平台中。

(3)容器运行安全性

运行时安全性是最重要的内容,因为在应用的整个生命周期内,容器将不断受到扫描和攻击。即使容器不断地启动、停止和更新,运行容器的主机也很容易受到新的攻击和零日攻击。

容器安全解决方案

目前,国际市场上涌现了一批容器安全产品安全厂商,如Neuvector、Twistlock、StackRox、Aqua等等,国内自研容器安全产品的厂商则有青藤云安全。从容器安全产品的技术方案上来看,目前大部分的容器安全厂商均使用了平行容器的方式对宿主机上的容器进行安全防护,而青藤云安全则采取了基于宿主机Agent的方式进行安全防护。这两种技术方式有何不同,会产生怎样不同的安全防护效果呢?

(1)平行容器技术方案

利用容器的隔离性和良好的资源控制能力,在容器的宿主机中启动一个容器,该容器通过挂载宿主机的所有文件系统,而后在容器内部对这些文件系统进行实时监控和处理响应,以实现对容器进行防护的作用。

(2)基于宿主机Agent的技术方案

即基于Agent的主机防护能力,监控宿主机上容器相关的文件、进程、系统调用等信息,增加其Agent中对于容器的清点、监控、防护能力,通过一个Agent,实现宿主机安全、容器安全两种防护的效果。国内新一代主机安全厂商青藤云安全是此类方案的践行者。

以上两种方案示意图如下:

猛戳“公众号”,即可下载中文版报告


-The End-


关于青藤云安全

青藤云安全以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。


QINGTENG CUSTOMERS

他们都在使用青藤

-政府机构-

国家信访局 | 国家信息中心 | 北京市公安局 | 中国煤炭地质总局 | 国家电网 |华中电网有限公司 | 天津市地震局| 青海省卫生健康委员会 | 北京电视台 | 中国日报 | 人民网| 中央广播电视台

-金融行业-

中国平安 | 招商银行 | 光大银行 | 吉林银行 | 宁波银行 | 安信基金 | 阳光保险集团 | 招联金融 | 银华基金管理股份有限公司 | 泰康 | 广发证券 | 安信证券| 华融

-互联网金融-

陆金所 | 借贷宝 | 91金融 | 51信用卡 | 玖富 | 易宝支付 |宜信 | 人人贷 | 普惠家 | 有利网|大智慧集团

-互联网-

BiliBili | 科大讯飞 | 51 Talk | 团车网 | 人人行科技 | 斗鱼 | 映客 | 途牛 | 春雨医生 | 天极网 | 医渡云| 中投视讯

-大型企业-

九阳 | 吉利控股集团 | 中通快递 | 上汽集团 | 百胜中国 | TCL | 中国移动 | 中国联通 | 中国电信

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存