Freigeben über

Übersicht über die Ausführungsphase

  • Artikel

Die Ausführungsphase ist die fünfte Stufe des Containers Secure Supply Chain (CSSC)-Frameworks. In dieser Phase werden die Überprüfung und Überwachung der Laufzeitumgebungen und das Löschen veralteter und anfälliger Bilder hervorgehoben. Diese Übersicht enthält Hintergrund, Ziele und Ziele für die Ausführungsphase des CSSC-Frameworks.

Das CssC-Framework (Containers Secure Supply Chain) von Microsoft identifiziert die Notwendigkeit der Ausführung von Containern mit vertrauenswürdigen Images und stellt eine Reihe bewährter Methoden und Tools bereit, mit denen Bilder sicher ausgeführt und die Angriffsfläche der Laufzeit reduziert werden kann. In diesem Artikel erfahren Sie mehr über die Ziele, bewährten Methoden und Tools, die Sie in der Phase "Ausführen" des CSSC-Frameworks verwenden können.

Hintergrund

Derzeit verwenden Unternehmen verschiedene Ansätze, um kompatible containerisierte Workloads mit vertrauenswürdigen Images auszuführen. Die Überwachung bereitgestellter Workloads bietet Unternehmen eine Überprüfung, dass der tatsächliche Betriebszustand der erwartete Zustand ist. Workloadimages werden zum Zeitpunkt der Bereitstellung oder nach der Bereitstellung anfällig. Unternehmen werden empfohlen, ihre Laufzeitumgebungen und -images kontinuierlich zu überprüfen, um zu erkennen, welche Workloads jetzt anfällig sind und welche Images nicht mehr unterstützt werden, um Sicherheitsupdates oder Fehlerbehebungen zu erhalten.

In der Phase "Ausführen" des CSSC-Frameworks wird eine Reihe von Schritten und Sicherheitskontrollen empfohlen, die implementiert werden sollten, um sicherzustellen, dass ausgeführte Container und Laufzeithosts sicher sind, z. B. auf rechtzeitiges Recycling von Knoten, Aktualisieren der Container mit aktuellen und gepatchten Containerimages, Entfernen veralteter, nicht ausgeführter Containerimages und Verhindern unerwünschter Verhaltensweisen der Container.

Microsoft empfiehlt, kontinuierlich Sicherheitsrisiken und Schadsoftwarescanner für containerisierte Workloads und Laufzeit auszuführen. Regelmäßige Aktualisierung der Container und der Knoten sowie die Beibehaltung der Knoten sauber sind effektive Methoden zum Schutz containerisierter Anwendungen vor einem Kompromittieren.

  • Suchen Sie regelmäßig nach Sicherheitsrisiken und Schadsoftware, und überprüfen Sie die Bildlebenszyklusmetadaten, um Bilder zu identifizieren, die gepatcht und aktualisiert werden müssen. Regelmäßig sauber veraltete Bilder aus dem Cache auf dem Knoten, um die Wahrscheinlichkeit zu verringern, dass gefährdete veraltete Bilder von schlechten Akteuren verwendet werden können
  • Konfigurieren sie starke Authentifizierungs- und Autorisierungsmechanismen für Hostingumgebungen und Container sowie das Ausführen von Containern als Nicht-Stamm, da Angreifer nicht auf die Systeme mit Leichtigkeit zugreifen und bei Kompromittierung Schäden verursachen können
  • Aktualisieren Sie regelmäßig Container und Arbeitsknoten. Dadurch wird sichergestellt, dass die Container und die Knoten mit den neuesten Sicherheitspatches und Fixes ausgeführt werden.
  • Reduzieren Sie die Angriffsfläche, indem Sie Container- und Knotenport einschränken, den Netzwerkzugriff von Containern einschränken, gegenseitiges TLS aktivieren.
  • Erzwingen von Ressourceneinschränkungen für Container, z. B. Steuern, wie viel Arbeitsspeicher oder CPU ein Container verwenden kann, um das Risiko einer Systeminstabilität zu verringern
  • Befolgen Sie branchenübliche Anleitungen wie CIS-Benchmarks, CISE-Anleitungen, CNCF Software Supply Chain Best Practices, NIST-Anleitungen oder Richtlinien für regionale Behörden basierend auf Ihren Anforderungen

Workflow zum kontinuierlichen Scannen und Überwachen von Laufzeitumgebungen

Die Ausführungsphase verfügt über einen Workflow zum kontinuierlichen Scannen und Überwachen von Laufzeitumgebungen. Der Workflow der Ausführungsphase gilt für das Löschen der anfälligen und veralteten Containerimages. Es ist sehr wichtig, die Laufzeitumgebungen sicher zu halten, der Workflow führt die folgenden Schritte aus:

  1. Suchen Sie kontinuierlich nach Sicherheitsrisiken und Schadsoftware in containerisierten Workloads und Laufzeitumgebungen, um nach potenziellen Sicherheitsbedrohungen zu suchen.
  2. Aktualisieren Sie regelmäßig Container und Workerknoten, um sicherzustellen, dass sie mit den neuesten Sicherheitspatches und Fixes ausgeführt werden.
  3. Aktualisieren Sie die Container und die Knoten regelmäßig, um containerisierte Anwendungen vor Kompromittierung zu schützen und das Risiko von Sicherheitsrisiken durch Patches und Fixes zu vermeiden.
  4. Überprüfen Sie die Bildlebenszyklusmetadaten, um die Bilder zu identifizieren, die ein Upgrade benötigen, um neu und sicher zu sein.
  5. Regelmäßig sauber veraltete Bilder aus dem Cache auf dem Knoten auf, um zu vermeiden, dass anfällige veraltete Bilder von schlechten Akteuren verwendet werden.
  6. Konfigurieren Sie starke Authentifizierungs- und Autorisierungsmechanismen für Hostingumgebungen und Container sowie das Ausführen von Containern, um zu verhindern, dass Angreifer auf die Systeme mit Leichtigkeit zugreifen und schäden an Kompromittierung verursachen.
  7. Verringern Sie die Angriffsfläche, indem Sie den Container- und Knotenport einschränken, den Netzwerkzugriff von Containern einschränken, gegenseitige TLS aktivieren und Ressourceneinschränkungen für Container erzwingen, z. B. steuern, wie viel Arbeitsspeicher oder CPU ein Container verwenden kann, um das Risiko einer Systeminstabilität zu verringern.

Sicherheitsziele in der Phase "Ausführen"

Die Ausführungsphase des CSSC-Frameworks soll die folgenden Sicherheitsziele erfüllen.

Überwachen der Laufzeit, um die Ausführung anfälliger Bilder zu reduzieren

Scannen von Containern auf Sicherheitsrisiken und Compliance mit Organisationsrichtlinien. Überprüfen Sie, ob die Container die neueste Version von Images verwenden.

Wenn Sie Ihre Laufzeitcontainer auf dem neuesten Stand halten, wird sichergestellt, dass Container immer frei von Sicherheitsrisiken sind und den Organisationsrichtlinien entsprechen. Bilder sollten in allen Phasen kontinuierlich überwacht werden. Neue Images aus der Phase "Erwerben" oder "Buildphase" können das Update von Laufzeitcontainern in der Ausführungsphase auslösen. Die Bilder können aus verschiedenen Gründen aktualisiert werden, z. B. das Beheben von Sicherheitsrisiken, das Beheben der Software, die lizenz ist, nicht kompatibel und das Image wird im Laufe der Zeit zum Ende des Supports. Alle diese Updates lösen die Aktualisierung der Laufzeitcontainer aus.

Verhindern von nicht kompatiblen Bildern und sauber veraltete Bilder, um das Angriffsrisiko zu minimieren

Es ist üblich, dass CI/CD-Pipelines Images häufig in der Bereitstellungsphase erstellen und an die Bereitstellungsplattform übertragen, aber nicht verwendete Images auf einem Laufzeitknoten werden möglicherweise nicht erneut gelöscht. Dies kann dazu führen, dass auf dem Datenträger aufgebläht wird, und eine Vielzahl nicht kompatibler Bilder, die auf den Knoten bestehen bleiben. Sicherheitsrisiken sind wahrscheinlich auch in veralteten Images vorhanden. Regelmäßige sauber veraltete Bilder können unnötige Überprüfungen vermeiden und die Angriffsfläche der Laufzeitumgebung reduzieren.

Halten Sie die Hostingumgebung auf dem neuesten Stand und mit sicheren Konfigurationen

Halten Sie die Hostingumgebung mit den Sicherheitsversionen und Patches des vertrauenswürdigen Upstream- oder Cloudanbieters auf dem neuesten Stand. Stellen Sie eine strenge Zugriffssteuerung und eingeschränkte Netzwerkberechtigung sicher, um die Angriffsfläche der Laufzeitumgebungen zu reduzieren. Übernehmen Sie die Echtzeiterkennung von unerwartetem Verhalten, Fehlkonfiguration und Angriffen auf die Hostingumgebung.

Microsoft bietet eine Reihe von Tools und Diensten, die Unternehmen dabei helfen können, die empfohlenen Schritte im Workflow der Ausführungsphase zu implementieren und die oben aufgeführten Sicherheitsziele zu erfüllen.

Tools und Dienste zum Scannen und Patchen von Sicherheitsrisiken

Microsoft Defender für Cloud ist die cloudeigene Lösung, um die Sicherheit Ihrer containerisierten Workloads zu verbessern, zu überwachen und zu Standard zu gewährleisten. Microsoft Defender für Cloud bietet Tools zur Sicherheitsrisikobewertung und -verwaltung für Bilder, die in der Azure-Containerregistrierung gespeichert sind und Container ausführen.

Tools und Dienste für sauber ing von nicht kompatiblen Bildern

Azure Image Cleaner führt automatische Bildidentifikation und Entfernung durch. Verwenden Sie Azure Image Cleaner, um veraltete Images von Kubernetes-Knoten für AKS-Containerworkloads zu sauber, oder verwenden Sie den Open-Source-Radierer für Nicht-AKS- oder Vanille Kubernetes-Umgebung, wodurch das Risiko veralteter Bilder verringert wird und die zeitaufwendige sauber reduziert wird.

Tools für den automatischen Upgrade-Laufzeitdienst

Das automatische Clusterupgrade bietet einen Mechanismus, der nur einmal festgelegt werden muss und damit spürbare Zeit- und Betriebskostenvorteile mit sich bringt. Wenn Sie AKS auto-Upgrade aktivieren, stellen Sie sicher, dass Ihre Cluster auf dem neuesten Stand sind und die Sicherheitsversionen oder Patches von AKS und upstream Kubernetes nicht verpassen, wenn Sie AKS verwenden.

Nächste Schritte

Siehe Übersicht über die Observability-Phase , um die Container sicher zu beobachten und potenzielle Sicherheitsprobleme in der Lieferkette rechtzeitig zu finden.