网络安全团队们现在都很清楚,容器的潘多拉魔盒已经打开。开发人员广泛采用容器,因为它们使构建和部署所谓的云原生应用变得前所未有的简单。容器不仅消除了将应用代码从测试环境移动到生产环境相关的许多常见障碍和摩擦,而且打包为容器的应用代码可以在任何地方运行。与任何应用关联的所有相关项都包含在容器化应用中,这使得容器化应用在本地数据中心或公有云上运行的虚拟机或裸机服务器上具备高度可移植性。

如此高的灵活性使得开发人员能够大幅提高生产效率,这种优势不容忽视。不过,与任何新兴的 IT 架构一样,云原生应用仍然需要受到保护。容器环境带来了一系列网络安全问题,涉及镜像、容器、主机、运行时、注册表和编排平台,所有这些都需要加以保护。

组织要面临的挑战是,首先了解云原生计算环境的不同层之间如何相互交互,然后找到合适的工具来构建,一套可重复的流程以保护每一层的安全。特定于容器的网络安全问题包括:

镜像:漏洞可以像影响任何其他代码一样影响容器镜像。构建材料清单、识别任何嵌入的机密、对镜像的所有层进行分类,这些都是仍待解决的基本网络安全任务。让情况变得更加复杂的是,在应
用环境中运行着大量的容器,且这些容器更新频繁。由于 DevOps 做法的兴起,组织现在每周多次更新容器化应用的情况并不少见。每次更新 IT 环境中运行的数千个容器时,都为在该环境中引入漏洞提供了机会。

容器注册表:容器注册表为存储和分发应用镜像提供了便捷、集中化的来源。当今组织可以轻松地将数以万计的镜像存储在其注册表中。注册表是容器化环境运行方式的核心,因此保护它的安全至关重要。注册表对于让潜在的容器混乱恢复秩序相当重要,但其也可以提供让网络犯罪分子轻松危害整个环境的途径。持续监控注册表中漏洞状态的任何更改是一项核心安全要求,需要包括锁定托管注册表的服务器。

容器运行时:容器运行时是容器堆栈中最难保护的部分之一,因为传统的安全工具不是为监控运行中的容器设计的。旧有工具通常看不到容器内部的情况,更不用说为安全的容器环境建立基准。容器运行时安全问题要求网络安全团队专注于旧有防火墙无法解决的应用安全问题。

容器编排:需使用白名单技术来处理对容器编排平台(例如 Kubernetes)的访问控制,防止特权过度的帐户、网络攻击和不必要的横向移动带来的风险,这与处理访问旧有 IT 环境的方式几乎相同。容器编排平台中的情况有所不同,其中还需要确保多个应用共享的 Kubernetes 集群上的 pod 之间的通信安全。

主机操作系统:托管容器环境的操作系统可能是保护容器环境安全最重要却经常被忽视的方面。对主机环境的任何危害都会为网络犯罪分子访问整个应用环境创造机会。每个主机都需要有自己的一套安全访问控制措施,并持续监控自部署该主机以来可能发现的任何新漏洞。

img

防御混合式攻击范围

既然容器让跨多个平台移植容器化应用变得更加简单,组织还需要能够首先实施网络安全策略,然后修复跨多个平台引起的任何问题。如今,大多数容器最初都部署在传统虚拟机之上,以确保共享同一平台的应用工作负载之间存在隔离层。

不过,也有一种新兴的用例:由于会产生额外开销,组织不希望部署虚拟机,而这可能会对应用性能造成负面影响。在这些情况下,开发人员更愿意将其容器部署在裸机服务器上,或者部署在一类新兴的较轻量的虚拟机之上。在依赖图形处理器单元(GPU) 的环境中,尤其是在容器以外的其他传统虚拟化技术中,这一情况尤其常见。在其他情况下,组织可能选择在裸机服务器上部署容器的另一个原因是,希望无需支付费用即可获得商用虚拟机软件的许可。无论动机如何,网络安全团队可以相信的是,容器化应用将在本地或多个公有云计算环境中证明自己的优势。每个环境将由运行容器的多种虚拟机和物理机组成,这些虚拟机和物理机都需要通过一个公共框架进行保护。

让情况变得更加复杂的是,使用容器构建的无服务器计算框架带来了另一种需要保护的攻击范围。无服务器计算框架以事件驱动的架构为基础,允许开发人员按需从应用内调用子进程。这种功能使得无需在应用中包含代码,以运行仅偶尔需要的功能。应用中的代码越少,保护起来就越容易。不过,网络安全团队不应忽视保护无服务器计算框架的必要性。

网络安全悖论

现在已经存在数百万的网络安全职位空缺。随着需要保护的应用代码数量继续呈指数级增长(主要归功于容器的增加),网络安全团队及其应用开发人员同事能够跟上这一步伐的唯一方法,就是更多地依赖自动化。

即使有更多的网络安全专业人员来填补所有这些职位,大多数组织仍会意识到要留住网络安全专业人员仍然充满挑战。有效减少网络安全人员流动所带来影响的唯一方法,是让尽可能多的现有手动流程实现自动化。这种方法不仅能让大规模维护网络安全策略变得更简单,而且还能让网络安全人员在恶意软件激活之前将更多时间花在搜寻恶意软件等任务上。

展望未来,网络安全任务是否将实现自动化已不再是问题,重点在于自动化的程度如何。

统一用例

随着容器支持的云原生计算变得越来越普遍,对可应用于容器和相关无服务器计算框架的网络安全框架的需求越发凸显。不过,这种观点并不局限于云原生计算应用。云原生计算应用不会很快消除企业中部署的所有单体应用代码。到下个十年末,各种规模的组织都将同时运行旧有和新兴的云原生应用。找到使用相同的管理框架在这两个环境中建立和维护网络安全策略的方法,是下一个重大的网络安全挑战。

实现这一目标是 Palo Alto Networks 今年早些时候收购 Twistlock(容器安全平台提供商)和 PureSec(保护无服务器计算框架安全的框架提供商)的主要原因。Palo Alto Networks 已斥资数百万美元开发其Prisma 框架,以便在旧有的单体应用环境中实现网络安全管理的自动化。现在,Prisma 进行了扩展,以添加对基于容器和无服务器计算框架的云原生计算应用的支持。

实际上,Prisma 将成为有史以来最全面的网络安全生命周期管理平台。

结语

一如往常,这既是网络安全的最佳时期,也是其最差时期。从许多方面来看,随着 IT 环境变得比以往更加混杂,维护网络安全的挑战性达到了前所未有的高度。然而,与此同时,网络安全创新的速度也变得空前的快。

不管组织的其他人员最初可能针对网络安全提出的保留意见如何,随着开发人员继续采用创新平台,在未来几个月,任何组织都可能做出的最重要网络安全决策,是确定哪家供应商拥有保护其现有环境以及新兴应用环境安全所需的工具和专业知识。

如需详细了解如何保护这些环境的安全,请访问https://www.paloaltonetworks.cn/prisma/cloud

Logo

派拓网络, 为开发者分享最创新的技术,助力每一位开发者的成功!

更多推荐