容器鏡像構(gòu)成了云原生環(huán)境中的標準應(yīng)用交付格式,基于容器鏡像廣泛分布和部署的特性,需要一套最新的安全實踐來確保鏡像的完整性。
通過鏡像掃描來檢查操作系統(tǒng)和軟件語言包中是否有漏洞,這是確保鏡像安全的基石。了解容器鏡像生命周期中每個階段的風險,有助于了解應(yīng)該構(gòu)建和使用怎樣的鏡像,從而加固和提高企業(yè)的安全態(tài)勢。
鏡像的構(gòu)建安全
基礎(chǔ)設(shè)施安全
如果容器鏡像中包含惡意軟件,在運行時就會構(gòu)成直接威脅。因此,構(gòu)建階段基礎(chǔ)設(shè)施的安全性與生產(chǎn)環(huán)境中的安全性同等重要,可以防止將外部漏洞引入鏡像當中。在構(gòu)建和持續(xù)集成階段,可以采取以下這些辦法來確保鏡像安全:
•限制對構(gòu)建基礎(chǔ)設(shè)施的訪問。
•只開放必要的網(wǎng)絡(luò)入口。
•認真管理secrets,只授予最小權(quán)限。
•認真審查從第三方網(wǎng)站拉取的源文件或其他文件,通過網(wǎng)絡(luò)防火墻限制只有受信任網(wǎng)站在白名單訪問之列。
•確保鏡像掃描工具的安全性和可靠性,以獲得相對全面而精準的掃描結(jié)果。
基礎(chǔ)鏡像安全
如果在現(xiàn)有的第三方基礎(chǔ)鏡像之上構(gòu)建鏡像,需要考慮以下幾個因素:
•基礎(chǔ)鏡像的來源和主機的可信度。該鏡像是否來自一家知名的公司或開源團隊?鏡像倉庫可信嗎?鏡像中是否有所有組件的Docker文件和源代碼?
•更新頻率。避免使用長期不更新的鏡像,尤其是未對相關(guān)漏洞披露做出回應(yīng)的鏡像。
•默認安裝的軟件。選擇利用最小基礎(chǔ)鏡像來構(gòu)建鏡像,然后選擇性地安裝應(yīng)用程序所需的工具,這比從已有鏡像中刪除軟件包更加可靠。建議選擇精簡的基礎(chǔ)鏡像,比如:
Google Distroless。這是一種最小基礎(chǔ)鏡像,預(yù)制了幾種常用語言。但由于缺乏軟件包安裝程序,所以如果需要安裝軟件,需要把文件復制到鏡像中。
Red Hat Universal Base Image (UBI)。基于RHEL鏡像,無需Red Hat訂閱,該鏡像分為最小、標準平臺和多服務(wù)三個層次,能覆蓋多語言鏡像。
此外,還可以從頭開始構(gòu)建一個基礎(chǔ)鏡像。
刪除非必要的軟件
盡量減少容器中提供的工具,防止惡意攻擊者設(shè)法進入后對工具進行漏洞利用。同時,盡可能保持鏡像最小化,減少0day漏洞的概率,加快鏡像存儲和拉取的速度。此外,限制鏡像中只包含必要的二進制文件、庫和配置文件,并避免安裝以下工具(如果已安裝,則將其刪除)。
•軟件包管理工具,例如apt、yum、apk
•Unix shells,例如sh、bash。刪除shells會妨礙在運行時使用shell腳本,要盡可能使用編譯語言。
•編譯器和調(diào)試器。只在容器創(chuàng)建和開發(fā)環(huán)節(jié)使用,不要在生產(chǎn)環(huán)境中使用。
容器創(chuàng)建與運行時
生成和編譯應(yīng)用程序的構(gòu)建工具在生產(chǎn)系統(tǒng)上運行時可能會被利用。由于容器的生命周期非常短,因此,不太可能給正在運行的容器打補丁或進行變更,而是要構(gòu)建一個新鏡像來取代過時的容器部署。通過Dockerfile多階段構(gòu)建的鏡像包含了編譯軟件所需的所有內(nèi)容,實現(xiàn)編譯環(huán)境和運行環(huán)境的分離。
FROM build-image as build
# Build my stuff
# ...
FROM base-image
# Install my packages
# ...
COPY --from=build /out/my-app /bin/my-app
Secrets
即使鏡像僅供內(nèi)部使用,也不要在鏡像中嵌入任何secrets,包括TLS證書秘鑰、云服務(wù)商憑證、SSH私鑰和數(shù)據(jù)庫密碼等,因為任何有權(quán)限拉取鏡像的操作者都能提取secret。另外只在運行時提供敏感數(shù)據(jù),還可確保操作者能在不同的運行時環(huán)境中使用相同的鏡像,這樣無需重建鏡像,就能通過使用不同的憑證,來簡化更新過期秘鑰或吊銷秘鑰的流程。
作為secrets管理的替代方案,利用Kubernetes Secret可以解決敏感數(shù)據(jù)的配置問題,避免把敏感數(shù)據(jù)暴露在Kubernetes Pods中,或者使用其他的 secrets管理系統(tǒng)。
鏡像掃描
鏡像中的軟件若含有漏洞,會大大增加在運行時的攻擊面。在CI管道中構(gòu)建鏡像時,必須要通過鏡像掃描,方可通過構(gòu)建階段。不安全的鏡像不應(yīng)該被推送到生產(chǎn)環(huán)境中的鏡像倉庫中。
雖然已經(jīng)有許多開源和專用的鏡像掃描工具以及云掃描服務(wù),但這些工具的鏡像掃描水平不盡相同。一些掃描工具只檢查已安裝的操作系統(tǒng)包,一些掃描工具只掃描某些編程語言的已安裝運行庫,一些掃描工具只提供額外的二進制指紋或其他文件內(nèi)容的測試。在為CI管道提供鏡像掃描工具時,要確保其能夠滿足所需要的掃描覆蓋范圍,并支持基礎(chǔ)鏡像的軟件包安裝數(shù)據(jù)庫和應(yīng)用程序使用的編程語言。
此外,確定可接受的漏洞風險層級,以便能夠通過構(gòu)建。例如任何低于某一嚴重程度的漏洞或高于某一嚴重程度的漏洞,都會導致構(gòu)建失敗,這就需要掃描工具提供一個能兼容的API或工具,可以配置進CI管道,并提供數(shù)據(jù)來評估構(gòu)建的標準。
鏡像的存儲安全
選擇鏡像倉庫
構(gòu)建好安全的容器鏡像后,就要將其存儲至鏡像倉庫。使用私有鏡像倉庫可最大限制的確保安全配置,但需要仔細管理鏡像倉庫的基礎(chǔ)設(shè)施和訪問控制權(quán)限。這種支持私有存儲庫的鏡像倉庫會為組織減輕大量的管理費用。安全工程師和構(gòu)建工程師可以依據(jù)組織的安全需求和基礎(chǔ)設(shè)施資源,為組織選擇最佳的安全解決方案。
鏡像管控
一些鏡像倉庫支持額外的鏡像管控功能,支持在鏡像上使用不可變標簽,防止同一標簽的鏡像在鏡像倉庫的多個版本中被重復使用,強制執(zhí)行鏡像的確定性運行時間。許多審計認證機構(gòu)要求要準確地知道在確定時間內(nèi)部署的是哪個版本的鏡像,從而也就知道了在某個時間運行的是哪個版本的應(yīng)用程序,避免了每次鏡像拉取時都使用最新鏡像簽名。
鏡像簽名能夠為鏡像提供更好的保護。有了鏡像簽名,鏡像倉庫會生成一個標記鏡像內(nèi)容的校驗和,然后使用私人秘鑰加密來創(chuàng)建一個帶有鏡像元數(shù)據(jù)的加密簽名。客戶端仍然可以在不驗證簽名的情況下拉取并運行鏡像,但安全運行環(huán)境下應(yīng)支持鏡像驗證要求。鏡像驗證使用簽名秘鑰的公鑰對來解密鏡像簽名內(nèi)容,可以將其與拉取的鏡像進行比較,確保鏡像內(nèi)容沒有被修改。
鏡像的運行安全
鏡像掃描
鏡像掃描是標準CI過程的一部分,在構(gòu)建階段已經(jīng)進行過鏡像掃描并不意味著運行時階段就不需要進行鏡像掃描,相反,運行時掃描更為重要。無論是使用任何第三方鏡像還是組織內(nèi)部的鏡像都可能含有新發(fā)現(xiàn)的漏洞,這可以通過使用自定義的或第三方的Kubernetes集群中的準入控制器,來防止不安全的容器鏡像的調(diào)度。
雖然有些掃描工具已經(jīng)支持在數(shù)據(jù)庫或緩存中存儲掃描結(jié)果,但用戶也必須要考慮對過期鏡像內(nèi)容的接受度,以及對每個鏡像拉取進行實時掃描所帶來的延遲等因素,以免影響掃描結(jié)果的輸出。
鏡像倉庫和鏡像信任
配置和使用安全的鏡像倉庫很重要,但如果不在客戶端執(zhí)行,這些保護措施也會被削弱。由于Kubernetes不提供對使用安全鏡像拉取選項的本地支持,所以需要部署一個Kubernetes準入控制器,來驗證Pod可以使用受信任的鏡像倉庫。此外,準入控制器還需要能夠驗證鏡像簽名。
鏡像持續(xù)運營維護
在鏡像的整個生命周期內(nèi)進行漏洞掃描至關(guān)重要,這需要權(quán)衡組織的風險容忍度,保持開發(fā)速度,這就要求每個組織都需要有自己的政策和程序來處理鏡像安全和漏洞管理問題。
首先要確定“哪些是不安全的鏡像”的標準。參考指標包括:
•漏洞的嚴重性
•漏洞數(shù)量
•漏洞是否有打補丁或可用的修復程序
•因配置錯誤所導致的漏洞
接下來,需要確定服務(wù)目標和處理鏡像的程序,是否要建立替代鏡像并設(shè)定一個期限將其部署到生產(chǎn)環(huán)境中?最后期限是否會根據(jù)漏洞的嚴重程序而變化?當發(fā)現(xiàn)新的漏洞時,是否要阻止已有鏡像的容器調(diào)度?此外,還需要定義程序來處理已經(jīng)在生產(chǎn)中運行的脆弱性鏡像的容器。
結(jié)語
通過參考以上最佳實踐,在容器的整個生命周期內(nèi),制定一個有效的鏡像安全策略,可以保護容器安全。作為云原生安全的領(lǐng)軍企業(yè),青藤自主研發(fā)的青藤蜂巢•云原生安全平臺支持在業(yè)務(wù)流程中進行安全卡點檢查,以“準入”+“準出”進行安全管控,落地安全左移,減少攻擊面。
安全卡點要確保鏡像在各階段的安全性。青藤蜂巢鏡像檢查能力,覆蓋容器“構(gòu)建-分發(fā)-運行”全生命周期,對鏡像(Image)及其構(gòu)建文件(Dockerfile、Yaml文件等)進行深度的安全和合規(guī)性檢查。
青藤蜂巢的鏡像掃描又快又準,每千個鏡像掃描時間<2分鐘。相比開源掃描,蜂巢的鏡像檢測能力覆蓋全、檢查能力深,不僅能檢查Dockerfile不安全配置問題,更能深入發(fā)現(xiàn)鏡像中的安全補丁、應(yīng)用組件漏洞、木馬病毒、敏感信息、受信鏡像、是否來源基礎(chǔ)鏡像、是否使用黑名單應(yīng)用等問題,且具備鏡像阻斷和修復建議等內(nèi)容,實現(xiàn)管理閉環(huán)。
此外,青藤蜂巢檢查能力以API和插件形式集成到生產(chǎn)流程中,支持CI/CD集成。
除了靜態(tài)掃描外,青藤蜂巢還對鏡像運行后的工作負載進行動態(tài)安全檢查,比如應(yīng)用和組件漏洞、微服務(wù)風險、弱密碼等,開創(chuàng)了國內(nèi)首個針對運行態(tài)容器風險檢查的安全方案。
實現(xiàn)安全左移還要進行“準入”和“準出”安全管控,凡是不合格鏡像都“不準入”到測試環(huán)境;同時,持續(xù)檢查生產(chǎn)倉庫和測試節(jié)點鏡像,凡是不合格鏡像都“不準出”到生產(chǎn)環(huán)境。
青藤蜂巢·云原生安全平臺,在鏡像進入生產(chǎn)環(huán)境之前就確保鏡像安全,在運行時階段持續(xù)進行鏡像漏洞掃描,保護鏡像全生命周期的安全。
