容器安全的常见风险与防护实践

这篇具有很好参考价值的文章主要介绍了容器安全的常见风险与防护实践。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

容器安全的常见风险与防护实践,安全
运行在云平台上的容器产品,因为具备一个完整的可移植应用程序环境,能够帮助用户轻松地完成对应用程序的开关控制,提升应用程序的敏捷性,同时节约企业的IT建设成本。在巨大优势作用下,容器产品的采用率在2021年达到了新高,容器编排引擎工具的使用也不断攀升。与此同时,容器也面临更大的安全风险。

常见容器安全风险

据Red Hat公司调查数据显示:有94%的受访者在过去12个月内遭遇过Kubernetes安全事件。而Akamai日前也进行了一项实验,将一个简单的Docker容器蜜罐用于攻击测试,结果显示该容器在24小时内被攻击者用于四起不同的犯罪活动,这些攻击的目的各不相同:一起攻击试图使用容器作为代理,以访问数据流或其他服务,另一起企图让目标感染僵尸网络,还有一起执行加密货币挖掘,最后一起是通过容器针对居家办公用户实施诈骗。

研究发现,牟利仍是网络犯罪分子攻击容器的主要动机。不法分子企图访问随后可以牟利的资源或数据。CPU时间和带宽等资源可以出售给其他犯罪分子用于地下服务,甚至直接用于挖掘加密货币,这些动机在使用容器的环境中大量存在。

风险一:错误配置

影响容器安全的因素有很多,但配置错误是最常见的原因。Gartner近期的一项分析显示,到2025年,99%以上云安全事件的根源将是用户配置错误或配置不当造成的。

容器常常大批量部署在非常动态的环境中,访问、网络及其他设置一旦出现错误配置,就会给网络犯罪份子留下可乘之机。另外,很多公司在配置容器时,通常会选择默认配置设置,不能充分利用更精细化的配置功能,配置错误或采用安全性远不如自定义设置的默认配置方案,都可能造成安全问题。配置错误的问题不仅局限于容器本身,容器编排引擎工具的配置错误也需关注。

风险二:镜像感染

除了错误配置外,被感染的镜像是容器面临的另一大风险。镜像由开源存储库提供,是随带的可执行代码的预制静态文件,可以在计算系统上创建容器,方便用户部署。攻击者会通过植入恶意软件或将挖矿软件预先安装在镜像中来破坏容器,用户在部署了这些镜像之后,攻击者就可以通过恶意软件来访问受害者的资源。

这种攻击事件已经发生了多起。例如,2020年Containerd运行过程中,曝出存在工具漏洞,该工具用于管理主机系统的整个容器生命周期。这个漏洞(CVE-2020-15157)存在于容器镜像拉取过程中,攻击者通过构建专用的容器镜像成功实施了攻击活动。

风险三:漏洞攻击

此外,影响容器安全的另一个因素是漏洞。2021年研究人员曾发现了多个容器漏洞,这些漏洞可以让攻击者渗入到公有云的多租户容器即服务产品当中。虽然云供应商投入了大量资金来保护云平台,但未知的零日漏洞层出不穷,容器所面临的漏洞安全风险始终存在。

容器安全防御的最佳实践

鉴于当前普遍应用的容器环境,企业需要具备数据分析能力,发现容器环境下的异常行为,以下梳理总结了容器安全防护中采用的有效实践经验,供大家参考:

•确保集群基础架构的补丁程序能够及时更新;

•定期修改容器运行参数,避免默认配置;

•使用强密码,并定期进行密码和权限的变更;

•避免将特权服务账户的令牌发送到API服务器以外的任何方,防止攻击者伪装成令牌所有者;

•启用“BoundServiceAccountTokenVolume”功能,尽量减小令牌被盗的影响;

•部署策略执行器以监控和防止容器集群内的可疑活动,尤其是查询SelfSubjectAccessReview或SelfSubjectRulesReview API以获得许可的服务账户或节点;

•从信誉良好的来源拉取容器镜像,存储在安全存储库中,用信任证书加以标记和签名,将过时的版本从镜像存储库移除;

•评估编排系统的最低权限配置,确保持续集成/持续交付(CI/CD)中的移动得到验证、记录和监控;

•全方位了解云应用程序环境以及传统IT基础架构的风险;

•部署数据分析工具和可以对分析结果做出反应的自动化操作手册;

•为安全运营人员及时提供容器运行数据,以便他们及时对告警信息进行处置;

•在容器的出口处部署数据泄露防护措施。文章来源地址https://www.toymoban.com/news/detail-647417.html

到了这里,关于容器安全的常见风险与防护实践的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • JS代码安全防护常见的方式

    正式学AST之前,还是有必要了解一下常见的JS代码安全防护方式, 最近看了一本名叫《反爬虫AST原理与还原混淆实战》的书,对于常见的JS代码安全防护方式,做一下学习笔记记录总结。 1.1 十六进制字符串 1.2 unicode字符串 1.3 字符串的ASCII码混淆 1.4 字符串常量加密 ​ 字符串

    2023年04月08日
    浏览(29)
  • redis常见安全防护策略及故障排除

    1.Redis中线上使用keys *命令,也是非常危险的。因此线上的Redis必须考虑禁用一些危险的命令,或者尽量避免谁都可以使用这些命令,Redis没有完整的管理系统,但是也提供了一些方案。 修改 redis.conf 文件,添加 然后重启redis。 重命名为\\\"\\\" 代表禁用命令,如想保留命令,可以重

    2024年02月05日
    浏览(32)
  • 无线网络常见安全风险及应对措施

    安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特

    2024年02月06日
    浏览(47)
  • 抵御时代风险:高级安全策略与实践

    目录 网页篡改攻击 流量攻击 数据库攻击 恶意扫描攻击 域名攻击 在今天的数字时代,网站已经成为企业、机构和个人展示信息、交流互动的重要平台。然而,随着网络攻击技术的不断进步,网站也面临着各种安全威胁。本文将探讨五种常见的网络攻击类型,并提供保护网站

    2024年02月12日
    浏览(33)
  • API接口安全风险大盘点:常见漏洞一览

    常见API接口漏洞 了解接口常见漏洞,将帮助你在测试接口获取更多的思路。 信息披露 信息可能会在 API 响应或公共来源(如代码存储库、搜索结果、新闻、社交媒体、目标网站和公共 API 目录)中披露。 敏感数据可以包含攻击者可以利用的任何信息。 例如,使用WordPress AP

    2024年03月27日
    浏览(42)
  • 容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)

    《OpenShift / RHEL / DevSecOps 汇总目录》 通过将运行 Pod 的 privileged 设为 true,容器就以特权模式运行在宿主机上。和普通容器相比,特权容器具有非常大的权限和能力。 容器被赋予所有能力 不屏蔽敏感路径,例如 sysfs 中的 kernel 模块 within Any sysfs and procfs mounts are mounted RW AppArm

    2024年02月04日
    浏览(40)
  • 云计算:从基础架构原理到最佳实践之:云计算网络安全与防护

    作者:禅与计算机程序设计艺术 云计算的高速发展带来了新的机遇,也带来了新的挑战。不管是在经济领域还是工程领域都面临着巨大的变革和新挑战。如何保证云计算平台的安全运行、数据的安全传输、用户数据的安全存储,成为一个重中之重的问题。 随着云计算的日益

    2024年02月08日
    浏览(38)
  • 网络安全标准实践指南——网络数据安全风险评估实施指引(原文+解读下载)

    为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准, 全国信息安全标准化技术委员会在组织编制国家标

    2024年02月16日
    浏览(47)
  • 换个角度看境外支付系统:警惕金融风险之安全测试实践

    支付系统,这个名词相信生活在当下社会的大家应该都不在陌生了吧,他时时刻刻充斥在我们的日常生活中,哪里有交易发生,哪里就有它的身影。 其实直白的来说, 支付系统是扮演着连接消费者、商家、银行和其他金融机构之间的桥梁角色。 对于支付系统的质量保障活动

    2024年03月24日
    浏览(42)
  • 常见的AI安全风险(数据投毒、后门攻击、对抗样本攻击、模型窃取攻击等)

    数据投毒是一种通过在 训练数据 中植入恶意样本或修改数据以欺骗机器学习模型的方法。这种攻击旨在使模型 在未来的预测或决策中 产生错误结果。攻击者可能会植入具有误导性标签或特征的数据,以扭曲模型的学习过程,导致模型偏离真实数据的表征。数据投毒攻击可能

    2024年02月03日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包