28项容器镜像的检查清单(Checklist)

Stella981
• 阅读 214

容器镜像是云原生环境中各类应用的标准交付格式。由于容器镜像需要大量分发和部署,因此,需要确保容器镜像在构建、分发和运行全生命周期内的安全。镜像扫描是检查操作系统和安装包中是否存在已知漏洞的一项基本措施。除此之外,还有很多措施可以加强容器镜像的安全。如下表所示,基于镜像安全4个阶段,11个要求,28项检查点,全面检测容器生命周期各个阶段的镜像风险,确保容器镜像的安全。

28项容器镜像的检查清单(Checklist)

构建阶段

基础设施的安全

为了从源头开始确保镜像安全,实现安全左移,需要确保镜像构建、CI/CD基础设施的安全,防止将外部漏洞引入到镜像当中来。

下列措施有助于确保构建基础设施和管道的安全:

  • 限制对构建镜像相关的基础设施的管理访问权限

  • 仅允许使用规定的网络入口

  • 谨慎管理各类秘钥,并且仅授予完成必要工作所需的最低权限

  • 从第三方站点拉取源文件或其它文件时,仔细审查文件是否存在漏洞,可使用白名单,仅允许受信站点访问

  • 确保扫描工具的安全性和可靠性,才能获得可靠的扫描结果

根镜像

在现有的第三方根镜像上构建镜像,则需要考虑到以下因素:

  • 根镜像来源和托管机构的可信度。镜像是来自知名公司还是开源组织?其维护的镜像仓库是否拥有良好的信誉?镜像中所有组件的Dockerfile和源代码是否可用?

  • 更新频率。避免使用不经常更新的镜像,尤其是不对相关漏洞做出披露的镜像。

  • 默认安装的软件。从最基本的根镜像开始,有选择性地安装应用所需的工具和库,这要比从现成镜像中找出需删除的软件包,更安全可靠。

下面是一些常见选择根镜像的方案:

  • Google Distroless——Google针对几种常见语言预先构建的最小根镜像。镜像中没有软件包安装程序,如果需要其他软件,可以将文件复制到镜像中。

  • Red Hat通用根镜像(UBI)——基于RHEL的镜像。其镜像分为三层——最小根镜像、标准平台和多服务。它还支持多种语言的镜像。

  • 自己从头开始构建根镜像。

删除不必要的软件

如果恶意***者确实访问了运行中的容器,那么也该确保***者进入容器后,容器内不会有其它地方存在漏洞成为***进一步***的抓手。使用最小根镜像就是一个很好的入手点,但是如果Dockerfiles安装了很多工具,就不如使用最小根镜像那么安全了。使用最小镜像的另一个好处就是,可以减少遇到0day漏洞的可能性,从而减少了对镜像打补丁和进行维护的需求,也加快了镜像的存储和拉取速度。

将镜像限制为二进制文件、库和配置文件,可提供最佳保护。特别是,尽量要避免安装以下工具:

  • 软件包管理器:例如apt、yum、apk

  • Unix shell:例如sh、bash。删除shell程序后,在运行时无法再使用shell脚本,但可以使用编译语言。

  • 编译器和调试器。只有在构建和开发容器时,才使用编译器和调试器,而在生产容器中则绝不使用。

如果在生产镜像中需要安装这些工具进行应用调试,建议创建临时调试镜像。Kubernetes目前也支持临时容器,可以将容器放置在现有的pod中进行调试。

容器的构建

在生产系统上运行时,用于生成和编译应用的构建工具会被***利用。应该将容器视为短暂存在的临时实体。不要想着对运行中的容器进行打补丁或更改容器。只能通过构建一个新镜像,然后替换过时的容器部署。使用多级Dockerfile,在运行时镜像以外的地方进行软件编译。

秘钥

切勿将任何秘钥嵌入镜像,即便只是供内部使用,也不建议这样做,因为任何能够拉取镜像的人都可以提取秘钥。秘钥包括TLS证书秘钥、云提供商的凭据、SSH私钥和数据库密码等等。只在运行时提供敏感数据,这还可确保能够在不同的运行时环境中使用同一镜像。这样,无需重新构建镜像,就能够简化更新过期秘钥或吊销秘钥的流程。

不使用嵌入式秘钥时,还可以向Kubernetes Pod提供秘钥作为Kubernetes秘钥,或使用其他秘钥管理系统。

镜像扫描

若镜像中所含的软件存在安全漏洞,则容器在运行时就更容易受到***。因此,通过CI/CD构建镜像时,镜像扫描是一个必然要求。不安全的镜像不能推送到镜像仓库中去,以免在生产中误用了存在漏洞的镜像。

目前,有一些开源的镜像扫描工具可供使用,但它们提供的覆盖范围不尽相同。有些扫描工具只是扫描已安装的操作系统软件包,有些会扫描已安装的运行时存储库,而另一些则可能会提供二进制指纹验证或文件内容扫描。

具体选择什么样的扫描工具,取决于所需要扫描的范围(编程语言等),以及对漏洞风险的接受度。对于那些安全要求高的企业,选择商用的镜像扫描,例如青藤蜂巢产品,可以实现更高质量镜像扫描。

分发阶段

选择镜像仓库

构建好容器镜像后,需要将其进行存储。使用内部的私有镜像仓库可最大限度地确保安全和配置,但是也需要谨慎管理镜像仓库的基础架构和访问控制。大多数云提供商还提供托管镜像仓库服务,其通常会自带云访问管理功能。

使用镜像仓库,可以减轻许多管理开销。安全工程师和开发人员将需要根据其安全要求和基础架构资源,为其组织选择最佳解决方案。

镜像控制

镜像仓库支持对镜像添加不可变标签,防止对不同版本的镜像重复使用同一个标签,从而能够执行确定的镜像运行时。例如,要想能够准确地知道要在什么时间,部署某个应用的、某个镜像的、某个版本,在这种情况下,如果每个镜像都标记“最新”标签,就会造成混乱。

镜像签名也可以增强安全防护。通过镜像签名,镜像仓库会生成标记镜像内容的校验和,然后使用私钥来创建含有镜像元数据的加密签名。客户端仍然可以在不验证签名的情况下,拉取并运行镜像,但是在安全环境中,运行时应支持镜像验证要求。镜像验证使用签名密钥的公钥,来解密镜像签名的内容,然后可以将其与提取的镜像进行比较,以确保镜像内容未被篡改。

运行阶段

镜像扫描

在镜像构建时进行镜像扫描,并不意味着运行时就不需要镜像扫描了。相反,对于可能使用的任何第三方镜像和自己的镜像(其中可能包含新发现的安全漏洞),在运行时进行镜像扫描更为重要。可以在Kubernetes集群中使用自定义或第三方访问控制器来避免部署不安全的容器镜像。

尽管某些扫描工具支持将扫描结果存储在数据库或缓存中,但用户需要权衡信息失效和每次拉取镜像进行扫描所引起的延迟。

镜像仓库和镜像信任

在“分发”部分,我们讨论了选择镜像仓库的标准以及某些镜像仓库支持的一些其他安全功能。尽管确保镜像配置正确,且使用了安全的镜像仓库很重要,但是如果不在客户端强制执行这些保护措施,安全依然无法得到保障。

Kubernetes本身并不提供安全镜像的拉取服务。这就需要部署一个Kubernetes访问控制器,验证Pod使用的是受信任的镜像仓库。为了支持签名镜像,控制器需要能够验证镜像的签名。

后期维护

镜像的漏洞管理

在容器的全生命周期内,镜像扫描是至关重要的,这时就需要权衡组织机构的风险承受能力和交付速度。组织机构需要制定对应策略和流程来处理镜像安全和漏洞管理。

根据以下指标来确定漏洞管理标准:

  • 漏洞严重性

  • 漏洞数量

  • 这些漏洞是否具有可用的补丁或修补程序

  • 漏洞是否影响配置错误的镜像的部署

基于漏洞严重性、漏洞数量、是否具有补丁等标准,首先,可以帮助用户决定是否允许存在问题(不严重)镜像进行部署上线。其次,发现新的漏洞后,是否要阻止使用现有镜像进行部署,最后,确定对于已经部署了有问题镜像的容器,该如何处理。

写在最后

持续进行镜像扫描是检查镜像中是否存在已知漏洞的一个重要手段,对于确保镜像安全有很大的作用。上文不仅介绍了在容器全生命周期内要对镜像进行持续扫描,还介绍了一些重要措施,可大大增强镜像安全。

原文链接:https://mp.weixin.qq.com/s/fJ2ZsK8vV15iuyYTMG91TQ

               http://dockone.io/article/10542

点赞
收藏
评论区
推荐文章
秃头王路飞 秃头王路飞
6个月前
webpack5手撸vue2脚手架
webpack5手撸vue相信工作个12年的小伙伴们在面试的时候多多少少怕被问到关于webpack方面的知识,本菜鸟最近闲来无事,就尝试了手撸了下vue2的脚手架,第一次发帖实在是没有经验,望海涵。languageJavaScript"name":"vuecliversion2","version":"1.0.0","desc
浅梦一笑 浅梦一笑
6个月前
初学 Python 需要安装哪些软件?超级实用,小白必看!
编程这个东西是真的奇妙。对于懂得的人来说,会觉得这个工具是多么的好用、有趣,而对于小白来说,就如同大山一样。其实这个都可以理解,大家都是这样过来的。那么接下来就说一下python相关的东西吧,并说一下我对编程的理解。本人也是小白一名,如有不对的地方,还请各位大神指出01名词解释:如果在编程方面接触的比较少,那么对于软件这一块,有几个名词一定要了解,比如开发环
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
技术小男生 技术小男生
6个月前
linux环境jdk环境变量配置
1:编辑系统配置文件vi/etc/profile2:按字母键i进入编辑模式,在最底部添加内容:JAVAHOME/opt/jdk1.8.0152CLASSPATH.:$JAVAHOME/lib/dt.jar:$JAVAHOME/lib/tools.jarPATH$JAVAHOME/bin:$PATH3:生效配置
刚刚好 刚刚好
6个月前
css问题
1、在IOS中图片不显示(给图片加了圆角或者img没有父级)<div<imgsrc""/</divdiv{width:20px;height:20px;borderradius:20px;overflow:h
小森森 小森森
6个月前
校园表白墙微信小程序V1.0 SayLove -基于微信云开发-一键快速搭建,开箱即用
后续会继续更新,敬请期待2.0全新版本欢迎添加左边的微信一起探讨!项目地址:(https://www.aliyun.com/activity/daily/bestoffer?userCodesskuuw5n)\2.Bug修复更新日历2.情侣脸功能大家不要使用了,现在阿里云的接口已经要收费了(土豪请随意),\\和注意
晴空闲云 晴空闲云
6个月前
css中box-sizing解放盒子实际宽高计算
我们知道传统的盒子模型,如果增加内边距padding和边框border,那么会撑大整个盒子,造成盒子的宽度不好计算,在实务中特别不方便。boxsizing可以设置盒模型的方式,可以很好的设置固定宽高的盒模型。盒子宽高计算假如我们设置如下盒子:宽度和高度均为200px,那么这会这个盒子实际的宽高就都是200px。但是当我们设置这个盒子的边框和内间距的时候,那
艾木酱 艾木酱
5个月前
快速入门|使用MemFire Cloud构建React Native应用程序
MemFireCloud是一款提供云数据库,用户可以创建云数据库,并对数据库进行管理,还可以对数据库进行备份操作。它还提供后端即服务,用户可以在1分钟内新建一个应用,使用自动生成的API和SDK,访问云数据库、对象存储、用户认证与授权等功能,可专
Wesley13 Wesley13
1年前
01.Docker安装MongoDB
1.查询MongoDB镜像dockersearchmongo1.拉取MongoDB镜像dockerpullmongo拉取指定版本镜像dockerpullmongo:3.41.启动MongoDB容器dockerrunp27017:27017namemym
Stella981 Stella981
1年前
Docker(三)——应用部署(MySQL部署,Nginx部署,Redis部署)
一、MySQL部署1.拉取mysql5.7镜像dockerpullmysql:5.72.创建容器,启动mysql5.7(建议别用最新版本的mysql)dockerrunidnamemysql1p3306:3306eMYSQL_ROOT_PASSWORD123456mysql:5.7
helloworld_28799839 helloworld_28799839
6个月前
常用知识整理
Javascript判断对象是否为空jsObject.keys(myObject).length0经常使用的三元运算我们经常遇到处理表格列状态字段如status的时候可以用到vue