写点什么

美国国家标准技术局发布应用容器安全指南

  • 2017-12-07
  • 本文字数:1110 字

    阅读完需:约 4 分钟

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。

NIST 的计算机安全研究中心(CSRC)负责监管 NIST 的数字和信息相关的项目和出版物。该公告对之前的两份有关应用容器安全出版物进行了总结,它先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。

容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题。安全工具和流程并不能保证容器所运行环境绝对安全,因为特定的环境可能包含很多安全漏洞。

容器使用了不可变模型,每当一个新版本的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更(比如一个操作系统镜像),应用开发者就必须为相应的应用生成新的镜像。将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队应该在这方面拥有更多的经验,所以说这也是一个潜在的问题。

NIST 发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。

容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置(在高级别权限模式下运行)也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞。每一个主机操作系统都有一个“攻击面”,攻击者通过这个攻击面对操作系统发起攻击。主机一旦受到攻击,主机上的容器也难逃厄运。共享内核的容器会加大攻击面。

应对措施需要从最底层开始——也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。之前关于容器安全的研究也提到了类似的内容。

查看英文原文 NIST Publishes Guidelines on Application Container Security

2017-12-07 18:001485
用户头像

发布了 322 篇内容, 共 140.5 次阅读, 收获喜欢 146 次。

关注

评论

发布
暂无评论
发现更多内容

mongodb 源码实现、调优、最佳实践系列-百万级代码量mongodb内核源码阅读经验分享

杨亚洲(专注MongoDB及高性能中间件)

MySQL mongodb 源码 中间件 分布式数据库mongodb

二十、深入Python迭代器和生成器

刘润森

Python

数据结构与算法系列之链表操作全集(一)(GO)

书旅

数据结构 数据结构和算法 Go 语言

透视HTTPS建造固若金汤的堡垒

码哥字节

https 加密解密 HTTP

游戏数值策划之常用excel函数

吴优秀同学

Excel 游戏

利用区块链等技术,加强对交通运输信用信息的归集共享和分析应用

CECBC

区块链 交通运输

分布式下,我想要一致性

架构师修行之路

分布式 微服务

算法分析关键

Geek_0b8195

算法和数据结构

【线上排查实战】AOP切面执行顺序你真的了解吗

Zhendong

spring aop

一个草根的日常杂碎(10月19日)

刘新吾

随笔杂谈 生活记录 社会百态

架构训练营学习笔记之五技术选型(一)

于成龙

架构训练营

万物互联的IoT时代,柔性电子会大行其道吗?

脑极体

Nginx 在运维领域中的应用,看这一篇就够了

华章IT

nginx Linux 运维工程师

一个草根的日常杂碎(10月18日)

刘新吾

随笔杂谈 生活记录 社会百态

架构师必备的那些分布式事务解决方案!!

架构师修行之路

分布式 微服务 架构设计

Flink窗口算子-6-8

小知识点

scala 大数据 flink

年纪轻轻怎么就卵巢早衰了?试管可帮忙!

Geek_65d32f

试管 三代试管

第四周作业

dll

1分钟带你入门 React 公共逻辑抽离HOC...

Leo

大前端 React Hooks HOC Render Props

深入java week1-01 字节码、内存、GC、调试工具

闷骚程序员

架构师训练营 1 期 -- 第五周作业

曾彪彪

极客大学架构师训练营

架构必修:领域边界划分方法--职责驱动设计(RDD)

马迪奥

架构 领域 架构师 RDD

云原生在京东丨云原生时代下的监控:如何基于云原生进行指标采集?

京东科技开发者

云原生

java week1练习

闷骚程序员

甲方日常 35

句子

工作 随笔杂谈 日常

聊聊技术人员如何学习成长

架构精进之路

职业成长

央行数字货币离我们还有多远?

CECBC

数字货币

Linux的上手命令

Linux 常用命令

Go语言内存管理三部曲(三)图解GC算法和垃圾回收原理

网管

内存管理 垃圾回收 GC GC算法 Go 语言

一个草根的日常杂碎(10月20日)

刘新吾

随笔杂谈 生活记录 社会百态

vivo 商城前端架构升级—前后端分离篇

vivo互联网技术

Java 大前端 前后端分离

美国国家标准技术局发布应用容器安全指南_DevOps & 平台工程_Hrishikesh Barua_InfoQ精选文章