写点什么

美国国家标准技术局发布应用容器安全指南

2017 年 12 月 07 日

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。

NIST 的计算机安全研究中心(CSRC)负责监管 NIST 的数字和信息相关的项目和出版物。该公告对之前的两份有关应用容器安全出版物进行了总结,它先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。

容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题。安全工具和流程并不能保证容器所运行环境绝对安全,因为特定的环境可能包含很多安全漏洞。

容器使用了不可变模型,每当一个新版本的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更(比如一个操作系统镜像),应用开发者就必须为相应的应用生成新的镜像。将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队应该在这方面拥有更多的经验,所以说这也是一个潜在的问题。

NIST 发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。

容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置(在高级别权限模式下运行)也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞。每一个主机操作系统都有一个“攻击面”,攻击者通过这个攻击面对操作系统发起攻击。主机一旦受到攻击,主机上的容器也难逃厄运。共享内核的容器会加大攻击面。

应对措施需要从最底层开始——也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。之前关于容器安全的研究也提到了类似的内容。

查看英文原文 NIST Publishes Guidelines on Application Container Security

2017 年 12 月 07 日 18:00937
用户头像

发布了 321 篇内容, 共 111.5 次阅读, 收获喜欢 112 次。

关注

评论

发布
暂无评论
发现更多内容

openresty源码编译

上海派拉基础研发

nginx openresty

模块一课后作业

王瑞强

架构实战营

Crash 游戏是公平的吗?

飞亚科技

面试笔记(二)线程池连环炮

U+2647

Thread 四月日更

区块链商品溯源平台搭建及防伪溯源解决方案

13828808769

商品溯源

如何善用“Adobe国际认证”证书,提高平面设计师的声音

Adobe国际认证

Adobe国际认证

量化马丁策略系统开发app,量化倍投策略平台搭建

WX13823153201

人生苦短,我用Python之小游戏

Bob

开发者 Python 游戏编程 4月日更 -python

平面设计之PS(前序)

空城机

PhotoShop ps 4月日更

书单|互联网企业面试案头书之运营篇

博文视点Broadview

区块链让版权与创作如影随形 应用深度逐渐加强

CECBC区块链专委会

产权保护

让云原生应用的交付变得更简单 | KubeVela v1.0 正式发布

郭旭东

Kubernetes 云原生 OAM KubeVela

架构实战营模块一作业

sandy

MUSO挖矿系统开发

飞亚科技

对于数据,科技小白提出了灵魂三问:从哪儿来?到哪儿去?能干什么?

华为云开发者社区

人工智能 安全 数据 数据采集 网络人工智能

猪肉价格跌至去年最低水平 区块链养猪成热点

CECBC区块链专委会

农业

【LeetCode】搜索旋转排序数组 IIJava题解

HQ数字卡

算法 LeetCode 4月日更

小白都能学会的Java注解与反射机制

陈皮的JavaLib

Java 注解 java反射

Nginx 除了负载均衡,还能干点啥

Java小咖秀

nginx 负载均衡

BBK智能合约系统开发|BBK智能合约APP软件开发

开發I852946OIIO

系统开发

区块链系统的层级架构如何及在供应链中的应用

CECBC区块链专委会

区块链

Adobe国际认证证书,如何为“女性”创造,职业发展机会!

Adobe国际认证

这6个浏览器插件,让你的浏览器大为不同。

彭宏豪95

chrome 浏览器 插件 chrome扩展 4月日更

7 个非常实用的 Shell 拿来就用脚本实例!

JackTian

Linux 编程 Shell 脚本语言 运维工程师

牛比特小矿工系统开发|牛比特小矿工软件APP开发

开發I852946OIIO

系统开发

Rust从0到1-结构体-定义和实例化

rust struct 结构体

nsqlookupd:高性能消息中间件 NSQ 解析

华为云开发者社区

集群 消息中间件 nsq nsqlookupd

1小时800箱,动力机器人真·搬砖16小时不续航;苹果官宣 WWDC 全球开发者大会召开时间;基于图神经网络的分级相关性匹配

京东科技开发者

人工智能 AI 开发者

白金熊项目奖金制度玩法介绍

飞亚科技

区块链BaaS平台的搭建,底层BaaS服务平台的开发

13828808769

行业资讯 产品资讯

智慧平安小区建设解决方案,智慧社区综合管理平台开发

WX13823153201

美国国家标准技术局发布应用容器安全指南-InfoQ