Partager via


Vue d’ensemble de l’étape d’exécution

La phase d’exécution est la cinquième étape de l’infrastructure CSSC (Containers Secure Supply Chain). Cette étape met l’accent sur l’analyse et la surveillance des environnements d’exécution et la purge des images obsolètes et vulnérables. Cette vue d’ensemble fournit l’arrière-plan, les objectifs et les objectifs de l’étape d’exécution de l’infrastructure CSSC.

L’infrastructure CSSC (Containers Secure Supply Chain) de Microsoft identifie la nécessité d’exécuter des conteneurs avec des images approuvées et fournit un ensemble de bonnes pratiques et d’outils permettant d’exécuter des images en toute sécurité et de réduire la surface d’attaque du runtime. Dans cet article, vous allez découvrir les objectifs, les meilleures pratiques et les outils que vous pouvez utiliser dans la phase d’exécution de l’infrastructure CSSC.

Background

Actuellement, les entreprises utilisent différentes approches pour exécuter des charges de travail conteneurisées conformes avec des images approuvées. La surveillance des charges de travail déployées fournit aux entreprises la validation que le véritable état opérationnel est l’état attendu. Les images de charge de travail deviennent vulnérables au moment du déploiement ou après leur déploiement. Les entreprises sont suggérées d’analyser en continu leurs environnements et images d’exécution pour détecter les charges de travail qui sont désormais vulnérables et les images qui ne sont pas prises en charge pour recevoir des mises à jour de sécurité ou des correctifs de bogues.

L’étape d’exécution de l’infrastructure CSSC recommande un ensemble d’étapes et de contrôles de sécurité qui doivent être implémentés pour s’assurer que les conteneurs en cours d’exécution et les hôtes d’exécution sont sécurisés, comme le recyclage des nœuds en temps opportun, la mise à niveau des conteneurs avec des images conteneur à jour et corrigées, la suppression des images conteneur obsolètes et non en cours d’exécution et la prévention du comportement indésirable des conteneurs.

Microsoft recommande l’exécution continue d’un scanneur de vulnérabilités et de programmes malveillants pour les charges de travail et le runtime conteneurisés. La mise à jour régulière des conteneurs et des nœuds, ainsi que la conservation des nœuds propre sont des pratiques efficaces pour protéger les applications conteneurisées contre la compromission.

  • Analysez régulièrement les vulnérabilités et les programmes malveillants, et case activée les métadonnées du cycle de vie des images pour identifier les images qui doivent être corrigées et mises à jour. Régulièrement propre des images obsolètes à partir du cache sur le nœud pour réduire la probabilité qu’une image obsolète vulnérable puisse être utilisée par des acteurs incorrects
  • Configurer des mécanismes d’authentification et d’autorisation forts sur les environnements d’hébergement et les conteneurs, ainsi que l’exécution de conteneurs non racines que les attaquants ne peuvent pas accéder aux systèmes avec facilité et causer des dommages en cas de compromission
  • Mettez régulièrement à jour les conteneurs et les nœuds de travail. Cela garantit que les conteneurs et les nœuds s’exécutent avec les derniers correctifs et correctifs de sécurité
  • Réduisez la surface d’attaque en limitant le port de conteneur et de nœud, en limitant l’accès réseau des conteneurs, activez le protocole TLS mutuel.
  • Appliquer des contraintes de ressources aux conteneurs, telles que contrôler la quantité de mémoire ou l’UC qu’un conteneur peut utiliser, pour atténuer le risque d’instabilité du système
  • Suivez les conseils standard de l’industrie tels que les benchmarks CIS, les conseils CISE, les meilleures pratiques de la chaîne d’approvisionnement des logiciels CNCF, les conseils NIST ou les conseils gouvernementaux régionaux en fonction de vos besoins

Flux de travail pour l’analyse et la supervision continue des environnements d’exécution

L’étape d’exécution dispose d’un flux de travail en place pour analyser et surveiller en continu les environnements d’exécution. Le flux de travail d’étape d’exécution s’applique au vidage des images conteneur vulnérables et obsolètes. Il est très crucial de sécuriser les environnements d’exécution, le flux de travail suit les étapes suivantes :

  1. Analysez en permanence les vulnérabilités et les programmes malveillants dans les charges de travail conteneurisées et les environnements d’exécution pour case activée pour détecter les menaces de sécurité potentielles.
  2. Mettez régulièrement à jour les conteneurs et les nœuds Worker pour s’assurer qu’ils s’exécutent avec les derniers correctifs et correctifs de sécurité.
  3. Mettez régulièrement à jour les conteneurs et les nœuds pour protéger les applications conteneurisées contre la compromission et éviter les risques de vulnérabilités contre les correctifs et correctifs.
  4. Vérifiez les métadonnées du cycle de vie des images pour identifier les images qui ont besoin d’une mise à niveau pour être les plus récentes et sécurisées.
  5. Régulièrement propre des images obsolètes à partir du cache sur le nœud pour éviter les images obsolètes vulnérables utilisées par des acteurs incorrects.
  6. Configurez des mécanismes d’authentification et d’autorisation forts sur les environnements d’hébergement et les conteneurs, ainsi que les conteneurs en cours d’exécution pour empêcher les attaquants d’accéder aux systèmes avec facilité et causer des dommages en cas de compromission.
  7. Réduisez la surface d’attaque en limitant le port de conteneur et de nœud, en limitant l’accès réseau des conteneurs, en activant tls mutuel et en appliquant des contraintes de ressources aux conteneurs, telles que le contrôle de la quantité de mémoire ou du processeur qu’un conteneur peut utiliser, afin d’atténuer le risque d’instabilité du système.

Objectifs de sécurité dans l’étape d’exécution

L’étape d’exécution du framework CSSC est destinée à satisfaire les objectifs de sécurité suivants.

Surveiller le runtime pour réduire l’exécution d’images vulnérables

Analysez les conteneurs pour détecter les vulnérabilités et la conformité avec les stratégies de l’organisation. Vérifiez si les conteneurs utilisent la dernière version des images.

Maintenir vos conteneurs d’exécution à jour garantit que les conteneurs sont toujours exempts de vulnérabilités et conformes aux stratégies de l’organisation. Les images doivent être surveillées en continu tout au long des étapes. De nouvelles images à partir de l’étape d’acquisition ou de génération peuvent déclencher la mise à jour des conteneurs d’exécution dans l’étape d’exécution. Les images peuvent être mises à jour pour différentes raisons, telles que la résolution des vulnérabilités, la correction du logiciel qui ne respecte pas la licence et la fin de la prise en charge de l’image au fil du temps. Toutes ces mises à jour déclenchent la mise à jour des conteneurs d’exécution.

Empêcher les images non conformes et propre des images obsolètes pour réduire le risque d’attaque

Il est courant que les pipelines CI/CD créent et poussent des images vers la plateforme de déploiement dans la phase de déploiement souvent, mais les images inutilisées sur un nœud d’exécution peuvent ne pas être vidées de manière régulière. Cela peut entraîner l’accumulation de ballonnements sur le disque et un hôte d’images non conformes qui persistent sur les nœuds. Les vulnérabilités sont également susceptibles d’exister dans des images obsolètes. Les propre standard des images obsolètes peuvent éviter une analyse inutile et réduire la surface d’attaque de l’environnement d’exécution.

Maintenir l’environnement d’hébergement à jour et avec des configurations sécurisées

Continuez à héberger l’environnement à jour avec les versions de sécurité et les correctifs du fournisseur de amont ou de cloud approuvé. Vérifiez un contrôle d’accès strict et une autorisation réseau limitée pour réduire la surface d’attaque des environnements d’exécution. Adoptez la détection en temps réel du comportement inattendu, de la mauvaise configuration et des attaques sur l’environnement d’hébergement.

Microsoft propose un ensemble d’outils et de services qui peuvent aider les entreprises à implémenter les étapes recommandées dans le flux de travail d’étape d’exécution et à répondre aux objectifs de sécurité répertoriés ci-dessus.

Outils et services pour l’analyse des vulnérabilités et la mise à jour corrective des images

Microsoft Defender pour le cloud est la solution native cloud pour améliorer, surveiller et maintenir la sécurité de vos charges de travail conteneurisées. Microsoft Defender pour le cloud offre des outils d’évaluation et de gestion des vulnérabilités pour les images stockées dans Azure Container Registry et les conteneurs en cours d’exécution.

Outils et services pour propre des images non conformes

Azure Image Cleaner effectue l’identification et la suppression automatiques des images. Utilisez Azure Image Cleaner pour propre des images obsolètes à partir de nœuds Kubernetes pour les charges de travail de conteneur AKS, ou utilisez l’gomme open source pour l’environnement Kubernetes non AKS ou vanille, ce qui atténue le risque d’images obsolètes et réduit le temps nécessaire pour les propre.

Outils pour mettre à niveau automatiquement le service d’exécution

La mise à niveau automatique de cluster fournit un mécanisme défini une fois pour toutes qui offre des avantages tangibles en termes de temps et de coûts opérationnels. Activer la mise à niveau automatique AKS garantit que vos clusters sont à jour et ne manquent pas les mises à jour de sécurité ou les correctifs d’AKS et amont Kubernetes si vous utilisez AKS.

Étapes suivantes

Consultez la vue d’ensemble de la phase d’observabilité pour observer en toute sécurité les conteneurs et localiser les éventuels problèmes de sécurité de la chaîne d’approvisionnement dans le temps.