智慧應用 影音
supplychain
Vector Japan

確保容器資安 讓企業安心掌握創新開發優勢

Deep Security Smart Check 掃描結果畫面。趨勢科技

現今舉凡Container、Kubernetes或DevOps等,皆成為軟體開發領域的熱門辭彙,更是企業迎向雲原生應用的必備技能。但對企業來說,追求敏捷開發、快速交付固然重要,但若因而釀成資安破口,就得不償失。

為此趨勢科技將LetsTalk Online EP7主題設定為「雲端工作負載和容器安全實作」,透過開發流程的演示,闡述如何搭配工具來落實資安政策,確保容器內的映像檔或開源元件沒有違反政策規章之虞,也確保容器權限配置並無不合理現象,以預防資安事件發生。使企業既可在新環境中保持開發優勢、又能兼顧資訊安全。

善用Workload Security  保護執行中的容器

趨勢科技雲端安全架構師任宗偉表示,容器蘊含快速啟動、快速擴展、平滑擴展、執行效率佳等優點,因而受到眾多企業青睞。它最基本的元素為映像檔(Image),要產生Image,須先撰寫Dockerfile,通常會從公開倉庫(public registry)下載某個Base Image,再將企業開發的程式直接包進Base Image裡,接著產生新的Image。

但曾經有駭客將帶有惡意軟體的Image放上公開倉庫,誘使他人下載,因而釀成資安風險。此外據傳有駭客眼見微服務盛行,準備攻擊容器,開始撰寫一些可跳脫特權容器的惡意程式,亦值得留意。

任宗偉特別準備一個Security Lab,模擬開發人員從撰寫Dockerfile、製作Image、Push至Registry,直到後面Deploy的歷程,點出駭客可能的攻擊點。其中包含駭客針對需輸入帳密的地方,採取SQL Injection手法;接著利用諸如Struts2等駭客工具,嘗試鎖定網站弱點進行攻擊;此後嘗試下達一些其他命令,以掌握更多系統資訊,期望在攻破你的容器後、也把此容器變成駭客中繼站。

緊接著任宗偉轉換到防守方角色,將Trend Micro Cloud One Workload Security引擎安裝於Docker Host,對於Runtime Container提供保護,結果證實前面提到不管是SQL Injection、Struts2種種攻擊行為,都被有效防範。

檢查Image與容器權限  避免發布有疑慮的服務

但有些企業對資安的期望值更高,不只想要反制已經侵門踏戶的駭客,希望能夠提早預防。基於此目標,任宗偉利用Trend Micro Cloud One的Container Security進行演示,展現兩個預防功效。

首先當Image產生時,藉由Container Security的Smart Check功能,檢查Image究竟有無問題;其次檢查容器權限是否過大(如果是,容易引發穿透攻擊),確認沒問題、才准予將服務部署出去。

比方說,使用者可開啟Smart Check的Console,檢視剛被上傳的Image被掃描出什麼結果,例如含有幾個惡意程式、幾個弱點,再進一步細看這些弱點與哪些元件相關,從而獲得改善建議。

至於駭客之所以能直接存取Docker Host本身的檔案,多數原因是開發人員貪圖方便,將權限開到最大,此時可透過Container Security裡的Admission Control模組來解決此問題,針對Policies做出調整,將特權模式、跳脫模式改成Block,且禁止把Root寫到Filesystem,導致這個Deploy失效、無法部署出去。

藉由Container Security演示,足見它在資安預防上發揮顯著功效。大致上來說,關於容器安全議題,Trend Micro的Cloud One一共會被用到兩項產品,一是Workload Security,它是攸關工作負載、虛擬機、容器主機安全的產品,當相關引擎被裝設在Host後,即可直接提供容器病毒防護,也能藉由進階機器學習技術來偵測變種的未知病毒,並能即時防堵弱點攻擊。

另一產品為Container Security,負責針對容器映像做掃描、執行啟用控制策略,以及運行前防護。內含兩個主要模組,一是進階映像檔掃描,另一是部署狀態控制,前者可用來掃描弱點、惡意程式、法規遵循,並利用Snyk偵測原始程式碼版本及漏洞,甚至提供進階的政策掃描功能,例如檢查是否含有像是私密金鑰等機敏資料。

至於後者、也就是部署狀態控制,便是Admission Control,可限制容器服務被Deploy時所使用的資源,凡是被察覺有權限配置失當的現象,都會及時宣告Deploy失敗,但使用者可利用偵測紀錄理解原因並即時修正。

任宗偉強調,容器非常方便、好用,但大家在使用上都有一些安全顧慮,因此他提出建議。第一,掃描確認所用的映像檔,包含系統版本、法規及病毒偵測;第二,確認映像檔內使用的開源元件皆為最新版本;第三,在DevOps自動化之下,確認部署條件符合資安要求;最後,可善用Workload Security等實用工具,針對執行階段的容器進行防護。

如欲進一步了解Trend Micro Cloud One Container Security,請至活動網站

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: DevOps 資安