Sdílet prostřednictvím

Přehled fáze spuštění

  • Článek

Fáze spuštění je pátou fází architektury CSSC (Containers Secure Supply Chain). Tato fáze zdůrazňuje kontrolu a monitorování prostředí modulu runtime a vyprázdnění zastaralých a ohrožených imagí. Tento přehled poskytuje pozadí, cíle a cíle pro fázi spuštění architektury CSSC.

Architektura CSSC (Containers Secure Supply Chain) společnosti Microsoft identifikuje potřebu spouštění kontejnerů s důvěryhodnými imagemi a poskytuje sadu osvědčených postupů a nástrojů, které pomáhají bezpečně spouštět image a snižovat prostor pro útoky za běhu. V tomto článku se dozvíte o cílech, osvědčených postupech a nástrojích, které můžete použít ve fázi spuštění architektury CSSC.

Pozadí

Podniky v současné době používají různé přístupy ke spouštění kompatibilních kontejnerizovaných úloh s důvěryhodnými imagemi. Monitorování nasazených úloh poskytuje podnikům ověření, že skutečný provozní stav je očekávaný stav. Image úloh budou ohroženy v době nasazení nebo po jejich nasazení. Podniky se navrhují, aby nepřetržitě kontrolovaly běhová prostředí a image, aby zjistily, které úlohy jsou teď zranitelné a které image nejsou podporované, aby dostávaly aktualizace zabezpečení nebo opravy chyb.

Fáze spuštění architektury CSSC doporučuje sadu kroků a kontrolních mechanismů zabezpečení, které by se měly implementovat, aby se zajistilo zabezpečení spuštěných kontejnerů a hostitelů modulu runtime, jako je včasné recyklace uzlů, upgrade kontejnerů s aktuálními a opravenými imagemi kontejneru, odebrání zastaralých, neběžených imagí kontejnerů a zabránění nežádoucímu chování kontejnerů.

Microsoft doporučuje nepřetržitě spouštět ohrožení zabezpečení a kontrolu malwaru pro kontejnerizované úlohy a modul runtime. Pravidelné aktualizace kontejnerů a uzlů a udržování uzlů v čistém stavu jsou efektivní postupy pro ochranu kontejnerizovaných aplikací před ohrožením.

  • Pravidelně kontrolujte ohrožení zabezpečení a malware a zkontrolujte metadata životního cyklu obrázků a identifikujte obrázky, které je potřeba opravit a aktualizovat. Pravidelně vyčistit zastaralé obrázky z mezipaměti na uzlu, aby se snížila pravděpodobnost, že ohrožené zastaralé obrázky můžou používat špatní aktéři.
  • Konfigurace mechanismů silného ověřování a autorizace pro hostování prostředí a kontejnerů a také spouštění kontejnerů, které nejsou kořenové, protože útočníci nemají snadný přístup k systémům a způsobují poškození při ohrožení zabezpečení
  • Pravidelně aktualizujte kontejnery a pracovní uzly. Tím zajistíte, že kontejnery a uzly běží s nejnovějšími opravami zabezpečení a opravami.
  • Omezte prostor pro útoky omezením portů kontejnerů a uzlů, omezením síťového přístupu ke kontejnerům a povolte vzájemné tls.
  • Vynucování omezení prostředků pro kontejnery, jako je řízení množství paměti nebo procesoru, které může kontejner používat, aby se zmírnit riziko nestability systému
  • Dodržujte standardní oborové pokyny, jako jsou srovnávací testy CIS, pokyny CISE, osvědčené postupy dodavatelského řetězce softwaru CNCF, pokyny NIST nebo pokyny pro regionální státní správu na základě vašich potřeb.

Pracovní postup pro nepřetržitou kontrolu a monitorování prostředí modulu runtime

Fáze spuštění má pracovní postup, který nepřetržitě kontroluje a monitoruje běhová prostředí. Pracovní postup fáze spuštění se vztahuje na vymazání ohrožených a zastaralých imagí kontejneru. Je velmi důležité udržovat prostředí runtime zabezpečená, pracovní postup se řídí těmito kroky:

  1. Průběžně kontrolujte ohrožení zabezpečení a malware v kontejnerizovaných úlohách a prostředích runtime a kontrolujte případné bezpečnostní hrozby.
  2. Pravidelně aktualizujte kontejnery a pracovní uzly, aby se zajistilo, že jsou spuštěné s nejnovějšími opravami zabezpečení a opravami.
  3. Pravidelně aktualizujte kontejnery a uzly za účelem ochrany kontejnerizovaných aplikací před ohrožením zabezpečení a vyhněte se riziku ohrožení zabezpečení z oprav a oprav.
  4. Zkontrolujte metadata životního cyklu image a identifikujte image, které potřebují upgrade, aby byly nejnovější a zabezpečené.
  5. Pravidelně vyčistí zastaralé obrázky z mezipaměti na uzlu, aby se zabránilo tomu, že chybné aktéry používají ohrožené zastaralé obrázky.
  6. Nakonfigurujte mechanismy silného ověřování a autorizace pro hostování prostředí a kontejnerů a také spouštění kontejnerů, abyste zabránili útočníkům v přístupu k systémům s lehkostí a poškozením při ohrožení zabezpečení.
  7. Omezte prostor pro útoky omezením portů kontejnerů a uzlů, omezením síťového přístupu ke kontejnerům, povolením vzájemného protokolu TLS a vynucováním omezení prostředků pro kontejnery, jako je například řízení množství paměti nebo procesoru, které kontejner může použít, ke zmírnění rizika nestability systému.

Cíle zabezpečení ve fázi spuštění

Fáze spuštění architektury CSSC je určená k splnění následujících cílů zabezpečení.

Monitorování modulu runtime za účelem omezení spuštěných ohrožených imagí

Zkontrolujte ohrožení zabezpečení kontejnerů a dodržování předpisů se zásadami organizace. Ověřte, jestli kontejnery používají nejnovější verzi imagí.

Udržování kontejnerů modulu runtime v aktualizovaném stavu zajišťuje, že kontejnery jsou vždy bez ohrožení zabezpečení a dodržují zásady organizace. Obrázky by se měly průběžně monitorovat v průběhu jednotlivých fází. Nové image z fáze Získání nebo sestavení můžou aktivovat aktualizaci kontejnerů modulu runtime ve fázi spuštění. Image je možné aktualizovat z různých důvodů, jako je oprava ohrožení zabezpečení, oprava softwaru, který licence nedodržuje předpisy, a image se v průběhu času stává ukončením podpory. Všechny tyto aktualizace aktivují aktualizaci kontejnerů modulu runtime.

Zabránění nekompatibilním imagím a vyčištění zastaralých imagí za účelem minimalizace rizika útoku

Kanály CI/CD obvykle vytvářejí a odesílají image do platformy nasazení ve fázi nasazení často, ale nepoužívané image v uzlu modulu runtime nemusí být vyprázdněny reguarně. To může vést k nahromadění haldy na disku a k tomu, že na uzlech přetrvává řada nekompatibilních imagí. V zastaralých imagích pravděpodobně existují ohrožení zabezpečení. Pravidelné čištění zastaralých imagí se může vyhnout zbytečné kontrole a snížit prostor pro útoky na prostředí runtime.

Udržování hostitelského prostředí v aktualizovaném stavu a se zabezpečenými konfiguracemi

Udržujte hostitelské prostředí v aktualizovaném stavu díky vydaným verzím zabezpečení a opravám od důvěryhodného upstreamového nebo cloudového poskytovatele. Zajistěte přísné řízení přístupu a omezené síťové oprávnění, abyste snížili prostor pro útoky na prostředí runtime. Osvojte si detekci neočekávaného chování v reálném čase, chybné konfigurace a útoky na hostitelské prostředí.

Microsoft nabízí sadu nástrojů a služeb, které můžou podnikům pomoct implementovat doporučené kroky v pracovním postupu fáze spuštění a řešit výše uvedené cíle zabezpečení.

Nástroje a služby pro kontrolu ohrožení zabezpečení a opravy imagí

Microsoft Defender for Cloud je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných úloh. Microsoft Defender for Cloud nabízí nástroje pro posouzení ohrožení zabezpečení a nástroje pro správu imagí uložených ve službě Azure Container Registry a spouštění kontejnerů.

Nástroje a služby pro čištění nekompatibilních obrázků

Azure Image Cleaner provádí automatickou identifikaci a odebrání obrázků. Pomocí nástroje Azure Image Cleaner můžete vyčistit zastaralé image z uzlů Kubernetes pro úlohy kontejnerů AKS nebo použít opensourcovou gumu pro prostředí mimo AKS nebo vanilla Kubernetes, což snižuje riziko zastaralých imagí a zkracuje dobu potřebnou k jejich vyčištění.

Nástroje pro automatickou upgrade služby runtime

Automatický upgrade clusteru poskytuje mechanismus "set once and forget", který přináší hmatatelný čas a provozní náklady výhody. Povolení automatického upgradu AKS zajišťuje, že vaše clustery jsou aktuální a pokud používáte AKS, nenechte si ujít verze zabezpečení nebo opravy ze služby AKS a upstream Kubernetes.

Další kroky

Prohlédněte si přehled fáze pozorovatelnosti, kde můžete bezpečně sledovat kontejnery a včas vyhledat potenciální problémy se zabezpečením dodavatelského řetězce.