深入探討容器安全:解決開發生命周期中的風險
背景
自從開始採用雲原生應用程式以來,容器和 Kubernetes 已經成為進一步擴充套件雲端應用程式的理想選擇。容器的出現使得應用程式的部署和維護變得更加靈活和高效,並且能夠快速更新和部署。然而容器和 Kubernetes 也帶來了獨特的安全風險和挑戰,在開發生命周期的各個階段都要面對這些問題。一位安全專家指出,DevOps 和安全的合作至關重要,因為安全團隊必須迎頭趕上,並理解 DevOps 的工作,與團隊建立良好的溝通和合作關係,這是建立強大安全基礎的基石。容器安全風險
執行容器有兩個階段,風險檢測和消除在這兩個階段都需要積極進行,同時也需要 IT 安全團隊和 DevOps 團隊之間的合作。第一個階段是容器的開發,然後是容器啟動後的所有執行。在部署之前,這一半的過程通常由 DevOps 團隊負責,開發人員編寫程式碼、測試和建立容器映像,並將其部署到管道進行使用者測試、驗收,然後放入生產環境。對於 IT 安全專業人員來說這種由 DevOps 推動的工作形式對他們來說是新的,但是漏洞評估對於 IT 安全團隊工作來說是核心的,因此在成為問題之前,掃描關鍵漏洞並解決它們對於安全團隊和開發團隊都是理想的。因此建立一個合作的流程可以讓我們所有人受益匪淺。容器配置和執行
執行容器的第一個挑戰是確保安全部署和配置。不像虛擬機,容器並不具備安全邊界。在同一臺機器上執行容器的工程師可以讀取和寫入執行在同一機器上的其他容器。此外風險還取決於工作負載本身,這是一個不斷發展的目標。即使您定期進行掃描,新的重要漏洞也可能隨時出現。開發人員需要全面理解每個容器的執行工作負載,以尋找異常行為、意外的外部存取和意外的程式執行,並跟進潛在的新風險。DevOps 如何改變人們和流程
提供安全雲應用程式的最重要問題並不在於流程或技術,而是讓人們聚在一起,打破界限。一位安全專家指出:“在雲應用程式的世界中,傳統上安全人員、開發人員和 DevOps 一直都是天敵,這種狀態在雲應用程式的世界中是不可行的,因為解決問題的責任劃分跨越了這些界線。”例如,執行在虛擬機上的一個 Tomcat 應用程式的遠端程式碼執行漏洞和在雲端 Kubernetes 上執行的容器具有相同的漏洞,不同的是誰將修復該漏洞以及修復該漏洞的流程。安全團隊無法修補容器漏洞,他們需要向開發人員提供一個修復漏洞的工單,這需要一個完全不同的人力和流程,對於大多數安全團隊來說這是非常陌生的。“建立橋樑是至關重要的,” 他說,“安全團隊必須理解這個新世界以及所涉及的所有元件。在 DevOps 方面,他們必須理解為什麼安全是重要的,並以與他們已經做的工作相結合的方式提供解決方案。”建立結合流程和安全解決方案的安全環境
在交付安全的雲應用程式方面,最關鍵的問題不是流程或技術,而是讓人們聚在一起,打破界限。“不要破壞敏捷性,使一切都在我們手頭上,當我們需要時,確保靈活性和可管理性,提供重要事項的背景或原因。在可以的情況下保持靈活性,建立易於管理、可監控和合理處理例外情況的過程。不要成為”不行派“引擎或者以安全被拒絕為代稱的那些人。找到一個平衡的風險,在這個風險下,我們可以繼續前進。” 為了更深入地理解安全和 DevOps 團隊如何應對重大風險以及可以幫助減輕團隊之間的安全問題的工具和解決方案,不要錯過本次 VB Spotlight 活動的機會。- 安全應用程式開發生命周期的安全措施
- 構建和執行安全容器的最佳實踐 - 從安全基礎映像到漏洞修補和金鑰管理
- 掃描 IAC(基礎架構即程式碼)以檢測 Dockerfile 和 Kubernetes 部署檔案的錯誤配置
- 理想的 DevSecOps 旅程應該是什麼樣的
- 支援更強大的安全性和合規性的工具和平臺
主持人和演講者
- Neil Carpenter,Orca Security 的首席技術傳道士
- Jason Patterson,Amazon Web Services 的高級合作夥伴解決方案架構師
- Louis Columbus,VentureBeat 的主持人
ContainerSecurity-安全,DevOps,容器環境,容器安全,容器保護
