◎运行环境层:负责提供容器镜像、容器编排管理等功能,以及运行应用程序的容器,并与容器能力层进行交互,共同实现容器安全防护。
4.2 容器全生命周期保护
根据容器安全防护架构,本方案将各种安全能力与DevOps流水线相结合,从持续集成/持续部署和运行时进行安全防护,为容器提供构建、部署和运行的全生命周期保护,到最终实现应用系统的安全运行,如图6所示。
4.2.1 构建安全
在应用程序构建阶段,通过与CI/CD流水线集成,分析构建镜像时所使用的命令和配置参数,还原镜像文件构建过程,掌握命令使用的敏感操作,以及分析镜像文件是否包含密码、令牌、密钥和用户私密信息等敏感信息。同时,分析镜像的软件组成,发现镜像文件中包含的恶意文件、病毒,以及所使用的依赖库和组件存在的安全漏洞,避免带病交付。
4.2.2 部署安全
分析镜像无风险后,镜像被提交至镜像仓库。在该阶段,将检查容器环境的镜像仓库配置,确保使用加密方式连接镜像仓库。通过与K8S联动,当镜像仓库中新增镜像或使用镜像创建容器时,自动化校验镜像签名或MD5值,确保镜像来源可信且未被篡改,一旦发现镜像来源不可信或被篡改,禁止使用该镜像创建容器。
4.2.3 运行安全
当确认镜像安全后,进入到容器运行阶段。在该阶段利用系统安全扫描能力,基于Docker和K8SCIS基线,对主机和容器编排工具K8S进行合规性检查,检查范围包括主机安全配置、Docker守护进程配置、Docker守护程序配置文件、容器镜像和构建、容器运行安全和Docker安全操作等,确保容器运行环境安全。
同时,利用微隔离对容器进行网络隔离,通过入侵检测能力实时监测容器运行状态,监测对象包括容器内运行进程(如netlink socket、perf event和eBPF)和文件系统,以及主机环境的权限提升和破坏容器隔离性等行为。当发现容器运行异常时,利用访问控制机制限制容器进一步的行为和通信。
5 结语
伴随着云原生应用发展,企业通过微服务来交付应用系统的比例在增加,容器安全也将不仅仅是容器自身和容器环境安全,将延伸到微服务安全和应用安全,企业在应用云原生技术时,应整体考虑容器安全,让安全与云原生相融合,更好地保护应用系统。
(原载于《保密科学技术》杂志2021年1月刊)