容器——包含整個運行時環境的輕量級安裝包——已經解決了可移植性、兼容性和快速、受控部署的解決方案。容器包括一個應用程序、依賴項、庫和其他二進制文件以及運行它們所需的配置文件。

隨著微服務、基礎設施即代碼和面向服務的架構 (SOA) 時代的到來，容器得到了許多最流行的云基礎設施的支持，并為當今大多數應用程序提供服務。

在不到十年的時間里，被稱為容器的概念已經登上了尖端計算技術的最前沿，乘著云計算的浪潮。與 x86 虛擬化技術改變數據中心計算的方式相同，容器重新定義了用于大規模交付應用程序性能的同類最佳方法。

問題定義

就像任何計算系統一樣，容器由軟件組件組成，其中任何一個組件都可能包含缺陷和漏洞。容器的漏洞管理是識別、優先排序和修復可能暴露容器的漏洞的過程。暴露可以很容易地包括容器所連接的其他系統、應用程序和數據。這些組件中的缺陷可能使攻擊者能夠控制系統并提供對敏感數據的訪問權限，從而導致經濟損失、聲譽受損和系統中斷。

隨著容器技術的普及，檢測和修復用于創建、操作和管理它們的代碼中的漏洞的重要性也在增加。

挑戰

在哪里檢測漏洞

一個典型的使用容器的組織遵循一個開發流程，從規劃、代碼創建、修訂和構建到測試、發布、部署到生產環境并最終穩定運行。每個階段都引入了檢測和糾正軟件漏洞的機會。

在哪個階段檢測漏洞最好？如何做到這一點，同時最大限度地減少對開發周期的干擾？什么工具最適合這項任務？其中許多問題都受到組織已在使用的工具的影響。使用開源或商業工具的決定也會影響組織的漏洞管理策略。

左移

隨著公司從傳統的瀑布開發模型轉向敏捷方法，一個越來越流行的術語是“左移”。在典型的開發流程中，各個階段從左到右閱讀：

計劃 —> 代碼 —> 構建 —> 測試 —> 發布 —> 部署 —> 操作

在漏洞管理領域，左移意味著在接近軟件開發生命周期 (SDLC) 或開發管道開始時實施漏洞掃描的離散嘗試。

容器漏洞管理策略

除了簡單地向左移動之外，還有多種合適的機會來檢測容器環境中的漏洞。

CI/CD 管道掃描

持續集成/持續部署是創建、審查和測試代碼時主動開發的特定階段。Jenkins、GitLab 和 Bamboo 等工具在自動化構建軟件模塊所涉及的工作流方面很受歡迎。這是執行漏洞掃描的最佳場所，因為可以以較低的成本更快地識別、修復和重新測試問題。幾種流行的漏洞管理工具可以與工作流自動化集成。

注冊表掃描

注冊表是用于存儲容器鏡像的存儲庫（或存儲庫的集合），這些鏡像是用于部署運行容器的多個單獨實例的模板。容器編排的一個主要組件涉及將容器從注冊表實例化到生產計算環境中。

因為這是一個如此常見和不可或缺的組件，幾乎所有流行的漏洞掃描工具都可以配置為掃描駐留在注冊表中的鏡像。這種識別容器漏洞的方法可能是發現和修復安全問題的成本最低、價值最高的方法。

通過查明容器映像中的漏洞，您可以修復可能存在于數十個或數百個正在運行的容器實例中的缺陷。通過編排的魔力，舊容器可以被銷毀并無縫替換為更新版本。

運行時環境掃描

掃描正在運行的容器中的漏洞最接近傳統的漏洞發現方法，并且已經在信息安全中使用了幾十年。這種方法意味著對正在運行的容器執行漏洞掃描以發現缺陷。然而，容器的本質是你不會修復發現的東西——你修復開發管道中的容器鏡像并替換有故障的實例。就時間而言，如果不是成本的話，這可能是一個相對昂貴的提議。也就是說，這種方法是檢測未正確部署的“流氓”容器的最佳方法。

主節點（主機）掃描

繼續掃描容器化環境中的支持基礎架構非常重要——這意味著支持容器運行時的主機和虛擬機（Containerd、LXC、CRI-O 等）。好消息是，許多支持集成到流行 CI/CD 工具、注冊表和運行時的工具都是由傳統漏洞管理供應商提供的，提供了功能全面的一站式服務。

容器安全的關鍵原則

使用容器并不能減輕有條不紊地識別和修復軟件漏洞的需要。容器——雖然不可變——由復雜的層組成，每個層都有潛在的漏洞和安全挑戰。

開發管道中有多種機會可以掃描和突出顯示這些漏洞。組織有多種產品可供選擇。了解這些各種工具的功能很重要，這些工具可能會有所不同，可以作為開源或商業風格提供。當組織開始為漏洞管理選擇策略和產品時，應考慮一些關鍵原則：

使用來自可信來源的最少基礎鏡像或“distroless”鏡像構建容器，請記住，某些容器掃描工具在沒有包管理器的發行版中存在問題。

維護您添加到鏡像的所有工具、包和庫。

仔細選擇適合您組織流程、DevOps 實踐、生態系統和功能的漏洞掃描工具。

計劃在容器開發管道的每個階段實施漏洞掃描，同時注意合規性要求。

考慮額外的控制，例如暫存注冊表、Kubernetes 準入控制器、鏡像簽名、多階段構建等。

請記住，合規性和可信仍然是任何計算環境的重要考慮因素——容器也不例外。

編輯：黃飛

?