共用方式為

執行階段概觀

  • 發行項

執行階段是容器安全供應鏈 (CSSC) 架構的第五個階段。 這個階段強調掃描和監視運行時間環境,並清除過時和易受攻擊的映像。 本概觀提供 CSSC 架構執行階段的背景、目標和目標。

Microsoft 的容器安全供應鏈 (CSSC) 架構可識別使用受信任映像執行容器的需求,並提供一組最佳做法和工具,以協助安全地執行映像並減少運行時間的攻擊面。 在本文中,您將瞭解可在 CSSC 架構的執行階段中使用的目標、最佳做法和工具。

背景

目前,企業會使用各種方法來執行具有受信任映像的相容容器化工作負載。 監視已部署的工作負載可讓企業驗證真正的作業狀態為預期狀態。 工作負載映像會在部署時或部署後變得易受攻擊。 建議企業持續掃描其運行時間環境和映像,以偵測哪些工作負載現在易受攻擊,哪些映像不支援接收安全性更新或錯誤修正。

CSSC 架構的執行階段建議一組應實作的步驟和安全性控制措施,以確保執行中的容器和運行時間主機安全,例如及時回收節點、使用最新和已修補的容器映射升級容器、移除過時、非執行中的容器映射,以及防止容器不想要的行為。

Microsoft 建議持續執行容器化工作負載和運行時間的弱點和惡意代碼掃描器。 定期更新容器和節點,以及讓節點保持乾淨是保護容器化應用程式免於危害的有效做法。

  • 定期掃描弱點和惡意代碼,並檢查映射生命週期元數據,以識別需要修補和更新的映像。 定期從節點上的快取清除過時映射,以減少惡意執行者可以使用易受攻擊過時映像的可能性
  • 在裝載環境和容器上設定強身份驗證和授權機制,並將執行中的容器設定為非根,因為攻擊者無法輕鬆存取系統,並在入侵時造成損害
  • 定期更新容器和工作節點。 這可確保容器和節點會以最新的安全性修補程式和修正程序執行
  • 藉由限制容器和節點埠、限制容器的網路存取、啟用相互 TLS 來減少受攻擊面。
  • 對容器強制執行資源限制,例如控制容器可以使用多少記憶體或CPU,以降低系統不穩定的風險
  • 請遵循業界標準指引,例如 CIS 基準CISE 指引NCF 軟體供應鏈最佳做法NIST 指引或地區政府指引,根據您的需求

持續掃描和監視運行時間環境的工作流程

執行階段有一個工作流程,可持續掃描及監視運行時間環境。 執行階段工作流程適用於清除易受攻擊和過期的容器映像。 讓運行時間環境保持安全非常重要,工作流程會遵循下列步驟:

  1. 持續掃描容器化工作負載和運行時間環境中的弱點和惡意代碼,以檢查是否有任何潛在的安全性威脅。
  2. 定期更新容器和背景工作角色節點,以確保它們會以最新的安全性修補程式和修正程序執行。
  3. 定期更新容器和節點,以保護容器化應用程式免於入侵,並避免修補程式和修正弱點的風險。
  4. 檢查映射生命週期元數據,以識別需要升級為最新且安全的映像。
  5. 定期從節點上的快取清除過時映射,以避免不良動作專案使用易受攻擊的過時映像。
  6. 在裝載環境和容器上設定強身份驗證和授權機制,以及執行容器,以防止攻擊者輕鬆存取系統,並在入侵時造成損害。
  7. 藉由限制容器和節點埠、限制容器的網路存取、啟用相互 TLS,以及對容器強制執行資源限制,例如控制容器可以使用多少記憶體或 CPU,以降低系統不穩定的風險,以減少受攻擊面。

執行階段的安全性目標

CSSC 架構的執行階段旨在滿足下列安全性目標。

監視運行時間以減少執行易受攻擊的映像

掃描容器中是否有組織原則的弱點和合規性。 確認容器是否使用最新版本的映像。

讓您的運行時間容器保持在最新狀態,可確保容器一律不受弱點和符合組織原則規範。 應該在整個階段持續監視影像。 [取得] 階段或 [建置] 階段的新映射可以觸發執行階段中的運行時間容器更新。 映射可能會因為各種原因而更新,例如修正弱點、修正授權變成不符合規範的軟體,以及隨著時間而成為終止支援的映射。 所有這些更新都會觸發要更新的運行時間容器。

防止不符合規範的映像並清除過時的映像,以將攻擊風險降到最低

CI/CD 管線通常會在部署階段中建置映像並將其推送至部署平臺,但運行時間節點上未使用的映射可能無法重新清除。 這可能會導致磁碟上累積膨脹,以及節點上揮之不去的不符合規範的映射主機。 過時映像中也可能存在弱點。 定期清除過時的映像,可以避免不必要的掃描,並減少運行時間環境的受攻擊面。

讓裝載環境保持最新狀態,且設定安全

使用來自受信任上游或雲端提供者的安全性版本和修補程式,讓裝載環境保持最新狀態。 確保嚴格的訪問控制和有限的網路許可權,以減少運行時間環境的受攻擊面。 對裝載環境採取非預期行為、設定錯誤和攻擊的即時偵測。

Microsoft 提供一組工具和服務,可協助企業在執行階段工作流程中實作建議的步驟,並解決上面所列的安全性目標。

弱點掃描和修補映像的工具和服務

適用於雲端的 Microsoft Defender 是雲端原生解決方案,可改善、監視和維護容器化工作負載的安全性。 適用於雲端的 Microsoft Defender 提供儲存在 Azure Container Registry 及執行中容器之映像的弱點評量和管理工具。

用於清除不符合規範映像的工具和服務

Azure Image Cleaner 會執行自動影像識別和移除。 使用 Azure Image Clean 從 AKS 容器工作負載的 Kubernetes 節點清除過時的映射,或使用適用於非 AKS 或 vanilla Kubernetes 環境的開放原始 碼橡皮擦 ,以降低過時映射的風險,並減少清除這些映射所需的時間。

自動升級運行時間服務的工具

叢集自動升級提供智慧型機制,可產生有形的時間和營運成本優勢。 啟用 AKS 自動升級 可確保叢集是最新的,如果您使用的是 AKS,就不會錯過來自 AKS 和上游 Kubernetes 的安全性版本或修補程式。

下一步

請參閱 可觀察性階段 的概觀,以安全地觀察容器,並及時找出潛在的供應鏈安全性問題。