Поделиться через

Обзор этапа выполнения

  • Статья

Этап выполнения — это пятый этап платформы "Безопасная цепочка поставок контейнеров" (CSSC). На этом этапе подчеркивается сканирование и мониторинг сред выполнения и очистка устаревших и уязвимых образов. В этом обзоре представлены фоновые, цели и цели для этапа выполнения платформы CSSC.

Платформа microsoft Containers Secure Supply Chain (CSSC) определяет необходимость запуска контейнеров с доверенными образами и предоставляет набор рекомендаций и средств для безопасного запуска образов и уменьшения области атаки среды выполнения. В этой статье вы узнаете о целях, рекомендациях и средствах, которые можно использовать на этапе выполнения платформы CSSC.

Общие сведения

В настоящее время предприятия используют различные подходы к выполнению контейнерных рабочих нагрузок с доверенными образами. Мониторинг развернутых рабочих нагрузок обеспечивает предприятиям проверку того, что истинное рабочее состояние является ожидаемым состоянием. Образы рабочей нагрузки становятся уязвимыми во время развертывания или после их развертывания. Предприятия предлагают непрерывно проверять среды выполнения и образы, чтобы определить, какие рабочие нагрузки теперь уязвимы и какие образы не поддерживаются для получения обновлений системы безопасности или исправлений ошибок.

Этап выполнения платформы CSSC рекомендует набор шагов и элементов управления безопасностью, которые должны быть реализованы для обеспечения безопасности запущенных контейнеров и узлов среды выполнения, таких как своевременное перезапуска узлов, обновление контейнеров с актуальными и исправленными образами контейнеров, удаление устаревших, не выполняющихся образов контейнеров и предотвращение нежелательного поведения контейнеров.

Корпорация Майкрософт рекомендует непрерывно выполнять сканер уязвимостей и вредоносных программ для контейнерных рабочих нагрузок и среды выполнения. Регулярно обновляйте контейнеры и узлы, а также сохраняя очистку узлов, являются эффективными методами защиты контейнерных приложений от компрометации.

  • Регулярно просматривайте уязвимости и вредоносные программы, а также проверка метаданные жизненного цикла образа, чтобы определить образы, которые необходимо исправить и обновить. Регулярно очищать устаревшие образы из кэша на узле, чтобы снизить вероятность использования уязвимых устаревших образов, которые могут использоваться плохими субъектами
  • Настройка надежных механизмов проверки подлинности и авторизации в средах размещения и контейнерах, а также запуск контейнеров, не являющихся корневыми, так как злоумышленники не могут получить доступ к системам с легкостью и причинить ущерб при компрометации.
  • Регулярно обновляйте контейнеры и рабочие узлы. Это гарантирует, что контейнеры и узлы выполняются с последними исправлениями безопасности и исправлениями
  • Уменьшите область атаки, ограничив порт контейнера и узла, ограничив сетевой доступ к контейнерам, включите взаимный ПРОТОКОЛ TLS.
  • Принудительное применение ограничений ресурсов для контейнеров, таких как управление объемом памяти или ЦП контейнера, чтобы снизить риск нестабильности системы.
  • Следуйте стандартным отраслевым рекомендациям, таким как тесты CISE, рекомендации CISE, рекомендации по цепочке поставок ПО CNCF, рекомендации NIST или региональные правительственные рекомендации на основе ваших потребностей

Рабочий процесс для непрерывного сканирования и мониторинга сред выполнения

Этап выполнения имеет рабочий процесс для непрерывного сканирования и мониторинга сред выполнения. Рабочий процесс этапа выполнения применяется для очистки уязвимых и устаревших образов контейнеров. Очень важно обеспечить безопасность сред выполнения, рабочий процесс выполняет следующие действия:

  1. Непрерывно проверяйте уязвимости и вредоносные программы в контейнерных рабочих нагрузках и средах выполнения, чтобы проверка для любых потенциальных угроз безопасности.
  2. Регулярно обновляйте контейнеры и рабочие узлы, чтобы убедиться, что они работают с последними исправлениями безопасности и исправлениями.
  3. Регулярно обновляйте контейнеры и узлы для защиты контейнерных приложений от компрометации и избегайте риска уязвимостей от исправлений и исправлений.
  4. Проверьте метаданные жизненного цикла образа, чтобы определить образы, необходимые для обновления, чтобы быть последними и безопасными.
  5. Регулярно очищайте устаревшие образы из кэша на узле, чтобы избежать уязвимых устаревших образов, используемых плохими субъектами.
  6. Настройте надежные механизмы проверки подлинности и авторизации в средах размещения и контейнерах, а также запуск контейнеров, чтобы предотвратить доступ злоумышленников к системам с легкостью и причинением ущерба при компрометации.
  7. Уменьшите область атак, ограничив порт контейнера и узла, ограничив сетевой доступ к контейнерам, обеспечивая взаимный ПРОТОКОЛ TLS и применяя ограничения ресурсов к контейнерам, таким как управление объемом памяти или ЦП контейнера, чтобы снизить риск нестабильности системы.

Цели безопасности на этапе выполнения

Этап выполнения платформы CSSC предназначен для удовлетворения следующих целей безопасности.

Мониторинг среды выполнения для уменьшения уязвимостей образов

Сканируйте контейнеры для уязвимостей и соответствия политикам организации. Убедитесь, что контейнеры используют последнюю версию образов.

Обеспечение актуальности контейнеров среды выполнения гарантирует, что контейнеры всегда являются свободными от уязвимостей и соответствуют политикам организации. Изображения должны постоянно отслеживаться на протяжении всех этапов. Новые образы из этапа приобретения или этапа сборки могут активировать обновление контейнеров среды выполнения на этапе выполнения. Образы можно обновлять по различным причинам, таким как исправление уязвимостей, исправление программного обеспечения, которое лицензия становится несоответствующей, и образ становится конечным с течением времени. Все эти обновления активируют обновление контейнеров среды выполнения.

Предотвращение несоответствующих изображений и очистка устаревших образов, чтобы свести к минимуму риск атаки

Обычно конвейеры CI/CD создают и помещают образы на платформу развертывания на этапе развертывания часто, но неиспользуемые образы на узле среды выполнения не могут быть удалены повторно. Это может привести к накоплению больших двоичных объектов на диске, а также к узлу несоответствующих образов. Уязвимости также могут существовать в устаревших образах. Обычная очистка устаревших образов может избежать ненужных сканирования и уменьшения области атаки среды выполнения.

Обновляйте среду размещения и с помощью безопасных конфигураций

Следите за актуальностью среды размещения с выпусками и исправлениями безопасности от доверенного вышестоящий или поставщика облачных служб. Убедитесь, что строгое управление доступом и ограниченное сетевое разрешение для уменьшения поверхности атаки сред выполнения. Внедрение обнаружения в режиме реального времени непредвиденного поведения, неправильной настройки и атак на среду размещения.

Корпорация Майкрософт предлагает набор средств и служб, которые помогут предприятиям реализовать рекомендуемые шаги в рабочем процессе этапа выполнения и решить указанные выше цели безопасности.

Средства и службы для сканирования уязвимостей и исправлений изображений

Microsoft Defender для облака — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных рабочих нагрузок. Microsoft Defender для облака предлагает средства оценки уязвимостей и управления образами, хранящимися в Реестр контейнеров Azure и работающих контейнерах.

Средства и службы для очистки несоответствующих изображений

Azure Image Cleaner выполняет автоматическую идентификацию и удаление изображений. Используйте Azure Image Clean, чтобы очистить устаревшие образы из узлов Kubernetes для рабочих нагрузок контейнеров AKS, или использовать стертик с открытым исходным кодом для среды, отличной от AKS или ванильной среды Kubernetes, что снижает риск устаревших образов и сокращает время, необходимое для их очистки.

Средства автоматического обновления службы среды выполнения

Автоматическое обновление кластера предоставляет механизм "задать один раз и забыть", который обеспечивает реальные затраты на время и операционные затраты. Включение автоматического обновления AKS гарантирует актуальность кластеров и не пропустите выпуски или исправления безопасности из AKS и вышестоящий Kubernetes, если вы используете AKS.

Следующие шаги

Ознакомьтесь с общими сведениями о стадии наблюдаемости для безопасного наблюдения за контейнерами и поиском потенциальных проблем безопасности цепочки поставок вовремя.