Udostępnij za pośrednictwem

Omówienie etapu uruchamiania

  • Artykuł

Etap Run to piąty etap struktury Secure Supply Chain (CSSC) kontenerów. Ten etap podkreśla skanowanie i monitorowanie środowisk uruchomieniowych oraz przeczyszczanie ich nieaktualnych i podatnych na zagrożenia obrazów. To omówienie zawiera tło, cele i cele dla etapu Run platformy CSSC.

Platforma Secure Supply Chain (CSSC) firmy Microsoft identyfikuje potrzebę uruchamiania kontenerów z zaufanymi obrazami oraz udostępnia zestaw najlepszych rozwiązań i narzędzi, które ułatwiają bezpieczne uruchamianie obrazów i zmniejszanie obszaru ataków środowiska uruchomieniowego. W tym artykule dowiesz się więcej o celach, najlepszych rozwiązaniach i narzędziach, których można używać na etapie uruchamiania struktury CSSC.

Tło

Obecnie przedsiębiorstwa używają różnych metod uruchamiania zgodnych obciążeń konteneryzowanych z zaufanymi obrazami. Monitorowanie wdrożonych obciążeń zapewnia przedsiębiorstwom walidację, że prawdziwy stan operacyjny jest oczekiwany. Obrazy obciążeń staną się narażone na zagrożenia w czasie lub po ich wdrożeniu. W przedsiębiorstwach zaleca się ciągłe skanowanie środowisk uruchomieniowych i obrazów w celu wykrycia, które obciążenia są obecnie podatne na zagrożenia i które obrazy nie są obsługiwane w celu otrzymywania aktualizacji zabezpieczeń lub poprawek błędów.

Etap uruchamiania struktury CSSC zaleca zestaw kroków i mechanizmów kontroli zabezpieczeń, które należy zaimplementować w celu zapewnienia bezpieczeństwa uruchomionych kontenerów i hostów środowiska uruchomieniowego, takich jak ponowne odtwarzanie węzłów w odpowiednim czasie, uaktualnianie kontenerów z aktualnymi i poprawionymi obrazami kontenerów, usuwanie nieaktualnych, niedziałających obrazów kontenerów i zapobieganie niepożądanym zachowaniom kontenerów.

Firma Microsoft zaleca ciągłe uruchamianie skanera luk w zabezpieczeniach i złośliwego oprogramowania dla konteneryzowanych obciążeń i środowiska uruchomieniowego. Regularne aktualizowanie kontenerów i węzłów, a także utrzymywanie czyszczenia węzłów są skutecznymi rozwiązaniami w celu ochrony konteneryzowanych aplikacji przed naruszeniem.

  • Regularnie skanuj pod kątem luk w zabezpieczeniach i złośliwego oprogramowania oraz sprawdź metadane cyklu życia obrazu, aby zidentyfikować obrazy, które należy zastosować poprawki i zaktualizować. Regularne czyszczenie nieaktualnych obrazów z pamięci podręcznej w węźle w celu zmniejszenia prawdopodobieństwa, że nieaktywne obrazy mogą być używane przez złych aktorów
  • Konfigurowanie mechanizmów silnego uwierzytelniania i autoryzacji w środowiskach hostingu i kontenerach, a także uruchamianie kontenerów jako nieuwzwiązanych z uwierzytelnianiem głównym, ponieważ osoby atakujące nie mogą łatwo uzyskać dostępu do systemów i spowodować szkody po naruszeniu zabezpieczeń
  • Regularnie aktualizuj kontenery i węzły robocze. Zapewni to, że kontenery i węzły są uruchomione z najnowszymi poprawkami zabezpieczeń i poprawkami
  • Zmniejsz obszar ataków, ograniczając port kontenera i węzła, ograniczając dostęp do sieci kontenerów, włączając wzajemne protokoły TLS.
  • Wymuszanie ograniczeń zasobów dla kontenerów, takich jak kontrolowanie ilości pamięci lub użycie procesora CPU przez kontener w celu ograniczenia ryzyka niestabilności systemu
  • Postępuj zgodnie ze standardowymi wskazówkami branżowymi, takimi jak testy porównawcze CIS, wskazówki dotyczące technologii CISE, najlepsze rozwiązania łańcucha dostaw oprogramowania CNCF, wskazówki dotyczące NIST lub wskazówki dotyczące instytucji rządowych regionalnych na podstawie Twoich potrzeb

Przepływ pracy do ciągłego skanowania i monitorowania środowisk środowiska uruchomieniowego

Etap uruchamiania zawiera przepływ pracy umożliwiający ciągłe skanowanie i monitorowanie środowisk uruchomieniowych. Przepływ pracy Etap uruchamiania ma zastosowanie do przeczyszczania narażonych i nieaktualnych obrazów kontenerów. Bardzo ważne jest, aby zapewnić bezpieczeństwo środowisk uruchomieniowych. Przepływ pracy wykonuje następujące kroki:

  1. Ciągłe skanowanie pod kątem luk w zabezpieczeniach i złośliwego oprogramowania w konteneryzowanych obciążeniach i środowiskach uruchomieniowych w celu sprawdzenia pod kątem potencjalnych zagrożeń bezpieczeństwa.
  2. Regularnie aktualizuj kontenery i węzły robocze, aby upewnić się, że są one uruchomione przy użyciu najnowszych poprawek zabezpieczeń i poprawek.
  3. Regularnie aktualizuj kontenery i węzły, aby chronić konteneryzowane aplikacje przed naruszeniem zabezpieczeń i uniknąć ryzyka luk w zabezpieczeniach przed poprawkami i poprawkami.
  4. Sprawdź metadane cyklu życia obrazu, aby zidentyfikować obrazy, które wymagają uaktualnienia do najnowszej i bezpiecznej wersji.
  5. Regularnie czyścić nieaktualne obrazy z pamięci podręcznej w węźle, aby uniknąć podatnych na zagrożenia nieaktualnych obrazów używanych przez złych aktorów.
  6. Konfigurowanie mechanizmów silnego uwierzytelniania i autoryzacji w środowiskach hostingu i kontenerach, a także uruchamianie kontenerów w celu uniemożliwienia osobom atakującym łatwego dostępu do systemów i spowodowania uszkodzenia po naruszeniu zabezpieczeń.
  7. Zmniejsz obszar ataków, ograniczając port kontenera i węzła, ograniczając dostęp do sieci kontenerów, włączając wzajemne protokoły TLS i wymuszając ograniczenia zasobów dla kontenerów, takie jak kontrolowanie ilości pamięci lub procesora CPU, których może używać kontener, aby ograniczyć ryzyko niestabilności systemu.

Cele zabezpieczeń na etapie uruchamiania

Etap uruchamiania struktury CSSC jest przeznaczony do spełnienia następujących celów dotyczących zabezpieczeń.

Monitorowanie środowiska uruchomieniowego w celu zmniejszenia liczby uruchomionych obrazów podatnych na zagrożenia

Skanuj kontenery pod kątem luk w zabezpieczeniach i zgodności z zasadami organizacji. Sprawdź, czy kontenery używają najnowszej wersji obrazów.

Aktualizowanie kontenerów środowiska uruchomieniowego zapewnia, że kontenery są zawsze wolne od luk w zabezpieczeniach i są zgodne z zasadami organizacji. Obrazy powinny być stale monitorowane na wszystkich etapach. Nowe obrazy z etapu Uzyskiwanie lub Etap kompilacji mogą wyzwalać aktualizację kontenerów środowiska uruchomieniowego na etapie uruchamiania. Obrazy można aktualizować z różnych powodów, takich jak naprawianie luk w zabezpieczeniach, naprawianie oprogramowania, które licencje staje się niezgodne, a obraz staje się w miarę upływu czasu do końca wsparcia. Wszystkie te aktualizacje spowodują zaktualizowanie kontenerów środowiska uruchomieniowego.

Zapobieganie niezgodnym obrazom i czyszczenie nieaktualnych obrazów w celu zminimalizowania ryzyka ataku

Potoki ciągłej integracji/ciągłego wdrażania często tworzą i wypychają obrazy do platformy wdrażania na etapie wdrażania, ale nieużywane obrazy w węźle środowiska uruchomieniowego mogą nie być czyszczone w reguarly. Może to prowadzić do gromadzenia się wzdęć na dysku i wielu niezgodnych obrazów utrzymujących się na węzłach. Luki w zabezpieczeniach mogą również istnieć w nieaktualnych obrazach. Regularne czyszczenie nieaktualnych obrazów może uniknąć niepotrzebnego skanowania i zmniejszyć obszar ataków środowiska uruchomieniowego.

Zapewnianie aktualności środowiska hostingu i bezpieczne konfiguracje

Zapewnij aktualność środowiska hostingu dzięki wydaniom zabezpieczeń i poprawkom od zaufanego dostawcy usług nadrzędnych lub w chmurze. Zapewnij ścisłą kontrolę dostępu i ograniczone uprawnienia sieciowe w celu zmniejszenia obszaru ataków w środowiskach uruchomieniowych. Wdrażanie wykrywania nieoczekiwanych zachowań, błędnej konfiguracji i ataków na środowisko hostingu w czasie rzeczywistym.

Firma Microsoft oferuje zestaw narzędzi i usług, które mogą pomóc przedsiębiorstwom w zaimplementowaniu zalecanych kroków w przepływie pracy Etap uruchamiania i sprostać celom zabezpieczeń wymienionym powyżej.

Narzędzia i usługi służące do skanowania luk w zabezpieczeniach i stosowania poprawek obrazów

Microsoft Defender dla Chmury jest rozwiązaniem natywnym dla chmury, które usprawnia, monitoruje i utrzymuje bezpieczeństwo konteneryzowanych obciążeń. Microsoft Defender dla Chmury oferuje narzędzia do oceny luk w zabezpieczeniach i zarządzania obrazami przechowywanymi w usłudze Azure Container Registry i uruchomionymi kontenerami.

Narzędzia i usługi do czyszczenia niezgodnych obrazów

Narzędzie Azure Image Cleaner wykonuje automatyczną identyfikację i usuwanie obrazów. Użyj narzędzia Azure Image Cleaner, aby wyczyścić nieaktualne obrazy z węzłów Kubernetes dla obciążeń kontenera usługi AKS lub użyć gumki typu open source dla środowiska innego niż AKS lub waniliowego kubernetes, co zmniejsza ryzyko nieaktualnych obrazów i skraca czas wymagany do ich wyczyszczenia.

Narzędzia do automatycznego uaktualniania usługi środowiska uruchomieniowego

Automatyczne uaktualnianie klastra zapewnia mechanizm "ustawiania raz i zapominania", który daje namacalny czas i korzyści z kosztów operacyjnych. Włącz automatyczne uaktualnianie usługi AKS gwarantuje, że klastry są aktualne i nie przegap wersji zabezpieczeń ani poprawek z usługi AKS i nadrzędnej platformy Kubernetes, jeśli używasz usługi AKS.

Następne kroki

Zobacz omówienie etapu obserwacji, aby bezpiecznie obserwować kontenery i znajdować potencjalne problemy z bezpieczeństwem łańcucha dostaw w czasie.