此列可在每周通讯中提供,称为最佳实践。点击在这里订阅。
Docker容器已成为组织在云中构建和运行应用程序的重要手段。对容器有很多灵活性,因为它们可以部署在任何裸机服务器,虚拟机或平台等(PaaS)环境的顶部。开发人员在公共云上拥有码头容器,因为它们不需要IT运营团队的帮助来旋转它们。
软件容器只是一个应用程序的精简包和支持应用程序的库,使得将容器从一个操作系统移动到另一个操作系统。这使得开发人员可以构建应用程序,然后拍摄所有源代码和支持文件,基本上创建像ZIP文件的内容,以便可以在任何地方部署容器。它包含应用程序需要运行的所有内容,包括代码,运行时,系统工具和系统库。
有几个容器的特征,非常适合基于意图的安全性,实际上是白名单。我最近采访了集装箱安全公司的联合创始人兼首席执行官Ben Bernstein扭锁,让他对保护容器应用的方法的看法。
“安全的人一直在努力到达圣杯,在那里通过做白名单来保护工作量的最佳方式,”伯尔尼斯坦说。白名单是指定允许存在和活动的批准应用程序索引的做法。不允许执行“批准”列表上的任何内容。“用白名单,”伯尔尼斯坦说,“你知道应该发生的事情。如果有些东西偏离,你可以假设它不好。关于白名单的事情是它很难做到。“
Twistlock提出了一个概念,它调用“开发人员意图”。它基于旧的应用程序开发世界中不存在的三件事。基本上,容器是声明性的,可预测和不可变的。让我们来看看这些特征如何加起来的基于意图的安全性。
容器提供了更多的声明性信息。现在,开发人员不仅仅写代码;他创建了一个小型环境,其中代码应该运行(即容器)。他确切地知道哪个进程应该在该环境中运行。“开发人员没有创建安全配置文件并说,'我刚刚创建了一个容器,这些是应该在它中运行的进程。”但他确实暗示了这种信息,“伯尔尼斯坦说。
Twistlock采取该信息,使用启发式信息,提出了一个具有确切哈希和精确信息的已知过程列表。“如果有人闯入申请并旋转一个不应该在那里运行的壳牌,我们就知道,为了一个事实,”伯尔尼斯坦说。“如果他旋转工具,我们不需要弄清楚俄罗斯攻击三个月的工具。我们只知道这个过程,无论是什么,都不是开发人员意图的一部分。这是一种低悬垂的果实,你如何基本上白名单应该发生的事情。“
进入安全公式的第二部分是可预测性。在云时代,每个开发人员都拥有一个较小的一件,没有大型整体里程碑。这些小块更容易分析。“在集装箱世界中,开发人员通常不会写整个堆栈本身。他们使用层,在这些层中,他们基本上暗示了应该发生的事情,“伯尔尼斯坦说。“所以如果你看到堆栈,并且在堆栈中你看到ubuntu,你看到他看到他放在一个mysql图层中,这些基本上都是坐在一个注册表中,每个开发人员可以拉入的。然后,你可以假设that because it’s a microservice, that’s probably going to be a database because you recognize all these layers that came from the registry and you know exactly which puzzle pieces he has. You could look at the different layers that exist and create some kind of a dictionary between these layers and behaviors.”
伯尔尼斯坦补充道,“如果你看到mysql,ubuntu和一层薄的配置,你知道这不应该ping你的内部网络。如果它是SharePoint或旧世界的东西,可能会有很多事情可以做到这一点,但在微服务中,它更加可预测。即使您不认识所使用的开发人员的所有层,仅仅因为它是一个非常薄而较薄的服务,即使是非常简单的服务,也可以更容易地使用机器学习,以便基准它应该做什么。微服务环境中有很多信号和较少的噪音,并且基线更容易。“
最后一件是容器是不可变的;也就是说,不可改变。当开发人员想要更改或更新他的应用程序时,它不会实时发生。相反,他完全用新版本替换整个容器。这提供了从安全性的角度提供了大量的权力,因为如果您看到应用程序行为的变化,并且开发人员推动的更改不是一个问题,这是一个问题。它是配置漂移还是真正的攻击,两者都很糟糕。
这三个属性 - 声明,可预测性和不断的不变性 - 创建一个白名单的安全性,以及黑名单,为云应用提供了强大的保护。
“如果您今天创建云工作负载,并且您希望使用旧世界工具保护它,您需要做的三件事,”伯尔尼斯坦说。“你必须确保开发人员不会把坏事放在生产中。您必须确保没有威胁无法访问该应用程序,并且您希望确定您是否确保您的感染,您被警告,您了解有异常。我们相信这三件事是一个包的一部分,这是今天的扭曲。我们坐在主机上,我们确保只有卫生进来,无论何时进来,我们都会确保我们了解它们。我们保护您免受可能存在的威胁,并使用白名单技术的范围检测异常。“