Automatizace skenování kontejnerů, včetně imagí kontejnerů
Termíny prohledávání kontejnerů a prohledávání imagí kontejnerů se často používají zaměnitelně, i když odkazují na mírně odlišné aspekty analýzy složení softwaru v kontejnerizovaných prostředích. Prohledávání kontejnerů obecně odkazuje na proces zjišťování ohrožení zabezpečení, chybných konfigurací nebo problémů se zabezpečením v kontejnerizovaných aplikacích. Cílí na prostředí runtime, závislosti, knihovny a nastavení konfigurace v rámci kontejnerů. Prohledávání imagí kontejnerů se zaměřuje na image kontejnerů. Zahrnuje kontrolu vrstev, balíčků, knihoven a konfigurací v imagi kontejneru za účelem identifikace takových problémů, jako jsou ohrožení zabezpečení a zastaralé závislosti. Prohledávání obrázků obvykle cílí na image kontejnerů umístěné v registrech kontejnerů.
Existuje mnoho nástrojů a technik pro kontrolu kontejnerů, které podporují platformy Azure DevOps a GitHub. Obecně můžete využít služby nezávislé na platformě, jako je Microsoft Defender pro cloud, nebo začlenit nástroje pro skenování přímo do Azure Pipelines nebo GitHub Actions.
Microsoft Defender for Cloud
Microsoft Defender for Cloud je platforma ochrany aplikací nativní pro cloud, která implementuje bezpečnostní opatření a postupy navržené k ochraně cloudových úloh před širokou škálou kybernetických hrozeb. Zahrnuje podporu kontroly imagí a kontejnerů s využitím možností Microsoft Defenderu pro kontejnery a Microsoft Defender Správa zranitelností.
Microsoft Defender pro kontejnery
Microsoft Defender for Containers je řešení nativní pro cloud, jehož cílem je vylepšit zabezpečení kontejnerizovaných prostředí, včetně clusterů Kubernetes, registrů kontejnerů a imagí kontejnerů napříč více cloudovými a místními prostředími. Její funkce je možné seskupit do čtyř hlavních kategorií:
- Správa stavu zabezpečení provádí průběžné monitorování úloh Kubernetes za účelem zjišťování cloudových prostředků, jejich inventarizace, zjišťování chybných konfigurací, poskytování pokynů k nápravě, posouzení odpovídajících rizik a pomoc s proaktivním vyhledáváním rizik pomocí Průzkumníka zabezpečení v programu Defender for Cloud.
- Ochrana před hrozbami za běhu poskytuje detekci hrozeb pro clustery Kubernetes, úzce v souladu s architekturou MITRE ATT&CK a nabízí integraci s širokou škálou informací o zabezpečení a správě událostí (SIEM) a rozšířenými produkty pro detekci a reakci (XDR).
- Nasazení a monitorování usnadňuje implementaci clusterů Kubernetes a sledování jejich stavu.
- Posouzení ohrožení zabezpečení poskytuje posouzení ohrožení zabezpečení bez agentů pro vícecloudové prostředky, včetně pokynů k nápravě a automatizované kontroly.
Posouzení ohrožení zabezpečení závisí na Microsoft Defender Správa zranitelností.
Microsoft Defender Správa zranitelností
Microsoft Defender Správa zranitelností nabízí funkce vyhledávání imagí založených na triggerech, které cílí na image v registrech Azure Container Registry (ACR). Automaticky generuje sestavy dokumentující ohrožení zabezpečení a odpovídající nápravy pro každou image. Poskytuje také kontrolu kontejnerů nasazených do clusterů Azure Kubernetes Service (AKS) na základě imagí načítaných z libovolného registru podporovaného v programu Defender pro cloud, včetně těch, které jsou nativní pro Amazon Web Services (AWS) a Google Cloud Platform (GCP), jako jsou Elastic Container Registry (ECR), Google Container Registry (GCR) a Google Artifact Registry (GAR).
Všechny image uložené v ACR, které splňují kritéria pro triggery kontroly, se automaticky kontrolují ohrožení zabezpečení bez jakékoli další konfigurace. Tato kritéria je možné seskupit do dvou hlavních kategorií:
- Aktivované operacemi nabízení, importu a vyžádání. V případě nabízení nebo importu se kontrola obvykle dokončí během několika minut, ale může to trvat až hodinu. Po jednotlivých vyžádáních se obrázky kontrolují do 24 hodin.
- Nepřetržitě běží u imagí, u kterých bylo dříve zkontrolováno ohrožení zabezpečení, aby se jejich sestavy ohrožení zabezpečení aktualizovaly tak, aby zohlednily nově publikované chyby zabezpečení. Tyto kontroly se provádějí jednou denně u imagí nasdílených za posledních 90 dnů, načítaných imagí za posledních 30 dnů a imagí spuštěných v clusterech Kubernetes, které monitoruje Defender for Cloud.
Doporučení se sestavami ohrožení zabezpečení jsou k dispozici pro všechny image ve službě ACR i pro image, které jsou aktuálně spuštěné v clusterech Azure Kubernetes Service (AKS). Po provedení doporučených kroků opravíte problém se zabezpečením a nahradíte image v registru, Microsoft Defender for Cloud automaticky znovu prohledá image, aby se ověřilo, že ohrožení zabezpečení již neexistuje.
Začlenění skenovacího nástroje přímo do Azure Pipelines nebo GitHub Actions
Do kanálů CI/CD můžete začlenit kontrolu kontejnerů a imagí, abyste mohli automaticky identifikovat ohrožení zabezpečení a zajistit dodržování předpisů. Proces začíná výběrem vhodného skenovacího nástroje kompatibilního s příslušnou platformou, jako je Například Aqua dostupný jako rozšíření zabezpečení DevOps nebo Trivy GitHub Action. Zvolený nástroj pro kontrolu pak můžete integrovat do procesu sestavení a analyzovat image kontejnerů z hlediska ohrožení zabezpečení a problémů s dodržováním předpisů. Kontrola kontejnerů by se měla použít během fáze CD, aby bylo možné vyhodnotit výsledek nasazení.
V rámci integrace CI/CD zvažte možnost zabránit nasazení image v případě, že kontrola hlásí nedodržování předpisů. Při implementaci pracovních postupů na GitHubu využijte své funkce Dependabot k detekci a vytváření žádostí o přijetí změn, které aktualizují závislosti v imagích kontejnerů, včetně souborů Dockerfile, manifestů balíčků a dalších konfiguračních souborů. Automatizujte nápravné akce, jako jsou opravy chyb zabezpečení nebo opětovné sestavení image, na základě výsledků kontroly. Implementujte průběžné monitorování a kontroly výsledků kontrol, využití řídicích panelů, sestav a oznámení specifických pro platformu.