洞见RSA2022|实践NIST网络安全框架,重塑容器安全

发布者:绿盟科技
发布于:2022-06-17 18:34

在当今云原生及混合云的大背景下,容器逐步成为了微服务架构最主流的载体。容器生态系统庞大且复杂,主要包括容器镜像、容器镜像仓库、容器运行时、容器编排系统、容器所在宿主机等组件。企业凭借贯穿在CI/CD和DevOps流水线中的这些组件,可以在云上快速构建易于扩展的微服务架构应用。

容器生态组件

 

以容器为载体进行交付的云原生应用,从代码开发到容器镜像实例化并对外提供服务的整个生命周期中,容器生态组件面临着大量的攻击向量(Attack Vectors),如存在恶意代码的容器镜像文件恶意代码注入、在镜像仓库中存储挖矿等不安全镜像、当镜像拉起至容器编排环境过程中遭到篡改从而破坏其完整性、容器编排系统的不合规配置、敏感信息渗透、容器逃逸及东西向攻击横移等多种威胁。

 

在前不久的RSA 2022大会上,安全工程师Birat Niraula进行了一场“NIST网络安全框架视角下的容器安全”主题演讲,旨在借助NIST网络安全框架(CSF)有效缓解企业在容器化业务中的风险。NIST CSF是一个自愿性框架,包含用于管理网络安全相关风险的标准、指南和最佳实践,框架涵盖识别、保护、检测、响应与恢复在内的五大过程。我们通过此演讲重新审视容器生态下的安全威胁与防护手段,并从上述五大过程出发,将NIST CSF引入容器安全方案,为容器生态系统中的不同组件提供相应的安全能力,逐步提升容器安全成熟度,对企业容器化业务进行全方位风险监测与安全防护。

NIST网络安全框架

 

1、识别
在云环境中,容器是PaaS服务模式下的工作负载,企业需要充分了解云安全责任共担模型中PaaS服务模式下的安全责任与义务。另外,我们需要建立与容器有关的资产清单,明确保护对象,同时企业需要根据风险的优先级来选择针对容器生态的安全控制手段。

 

绿盟科技云原生容器安全产品CNSP(NSFOCUS Cloud-Native Security Platform,以下简称:绿盟科技CNSP)通过对接K8S的控制节点,可以识别主机、容器镜像、容器、命名空间、Pod、Service、Ingress等10余种容器相关资产,以可视化形式呈现容器生态下多维资产的全景态势及互访关系,大幅度提高企业对容器环境的可见性;同时绿盟科技CNSP的Dashboard可对Pod间威胁流量进行实时展示,支持容器集群、命名空间维度的筛选展示。

 

2、保护
本阶段我们重点关注CI&CD阶段容器镜像和仓库防护、运行时阶段工作负载的加固、容器编排组件的脆弱性管理,以及对外提供服务的访问控制。在镜像安全方面,需要根据不同风险因素对镜像进行漏洞评估并判断其是否为可信镜像。针对主机、容器(工作负载)、K8S(编排系统)、Docker(运行时)分别进行安全合规检测。相同功能的容器拉起形成实例后,K8S将其抽象为Ingress对外提供服务,这部分需要实施控制手段,防止外部通过API形式进行入侵。

 

绿盟科技CNSP支持对接Jenkins等DevOps主流插件,通过平台内置的扫描引擎和丰富的漏洞库,可以有效发现容器镜像中存在的应用漏洞、病毒木马、敏感数据等问题,同时采用侵入性更小的原生Hook机制来判断能否允许镜像进行实例化。在容器生态安全合规层面,绿盟科技CNSP以K8S和Docker CIS Benchmark为基线执行合规性检查以识别未达标主机、YAML编排文件和容器集群。

 

3、检测
容器生态下的检测主要针对两方面:一是容器运行时阶段异常行为的检测,检测对象包括容器启动的进程、容器的文件挂载、容器网络连接,以及容器对主机系统调用等;二是容器环境下网络攻击的检测,检测对象通常为容器集群内网络流量情况、基础设施和应用的日志记录等。

 

绿盟科技CNSP支持将安全容器以Pod形式弹性地部署在动态变化的工作节点上,获取并自学习所在节点的容器镜像实例运行,在文件读写、系统调用、网络连接、进程启停等方面建立安全基线,对容器异常行为进行监控,支持基线训练周期的自定义配置。同时,绿盟科技CNSP创新性地内置容器流量威胁检测引擎在容器集群中,借助分布在每个工作节点上的安全容器,以镜像方式获取进出宿主机上敏感Pod的网络流量,以此实现对容器环境2-7层网络攻击的分析与发现。

 

4、响应
由于容器生命周期短、系统调用多且容器间网络交互十分复杂,需要适当的技术,如事件关联和趋势分析来有效减少安全事件告警噪音,以便快速定位真正安全事故所在。当发生安全事故后,建议执行预置Playbooks执行自动化安全响应,同时与容器化业务的利益相关方及时沟通和汇报。

 

绿盟科技CNSP提供容器环境下的微隔离(Mircro-segmentation)功能,支持flannel、calico等主流网络插件,可按照NameSpace、Service、Pod Label等配置策略类型,据此执行相应的放行或阻断动作。绿盟科技CNSP的管理平面支持对不同时间内的事件、事件源等设置统一的响应策略,按照优先级执行处理动作,包括对不安全容器进行隔离、暂停等处置。

 

5、恢复
这一阶段侧重点放在企业在经历安全事故后,如何最大限度保证容器化业务的持续性上面。企业应结合自身业务特点,建立BCP和DRP文档并定期执行桌面演练或穿行测试以验证其有效性。

 

定位于云原生安全领域的绿盟科技CNSP,通过与容器编排工具集成,以容器化形式快速交付针对容器生态的安全能力,同时根据业务节点的变化实现自适应地安全能力扩容,助力企业在NIST网络安全框架下实现对容器化业务的安全风险管理,减少容器威胁暴露面,保障容器化应用的全生命周期安全。


声明:该文观点仅代表作者本人,转载请注明来自看雪