Linux容器安全的10個(gè)層面
應(yīng)用這些策略來保護(hù)容器解決方案的各個(gè)層面和容器生命周期的各個(gè)階段的安全。
容器提供了打包應(yīng)用程序的一種簡單方法,它實(shí)現(xiàn)了從開發(fā)到測試到投入生產(chǎn)系統(tǒng)的無縫傳遞。它也有助于確保跨不同環(huán)境的連貫性,包括物理服務(wù)器、虛擬機(jī)、以及公有云或私有云。這些好處使得一些組織為了更方便地部署和管理為他們提升業(yè)務(wù)價(jià)值的應(yīng)用程序,而快速地采用了容器技術(shù)。
企業(yè)需要高度安全,在容器中運(yùn)行核心服務(wù)的任何人都會(huì)問,“容器安全嗎?”以及“我們能信任運(yùn)行在容器中的應(yīng)用程序嗎?”
對(duì)容器進(jìn)行安全保護(hù)就像是對(duì)運(yùn)行中的進(jìn)程進(jìn)行安全保護(hù)一樣。在你部署和運(yùn)行你的容器之前,你需要去考慮整個(gè)解決方案各個(gè)層面的安全。你也需要去考慮貫穿了應(yīng)用程序和容器整個(gè)生命周期的安全。
請(qǐng)嘗試從這十個(gè)關(guān)鍵的因素去確保容器解決方案棧不同層面、以及容器生命周期的不同階段的安全。
1. 容器宿主機(jī)操作系統(tǒng)和多租戶環(huán)境
由于容器將應(yīng)用程序和它的依賴作為一個(gè)單元來處理,使得開發(fā)者構(gòu)建和升級(jí)應(yīng)用程序變得更加容易,并且,容器可以啟用多租戶技術(shù)將許多應(yīng)用程序和服務(wù)部署到一臺(tái)共享主機(jī)上。在一臺(tái)單獨(dú)的主機(jī)上以容器方式部署多個(gè)應(yīng)用程序、按需啟動(dòng)和關(guān)閉單個(gè)容器都是很容易的。為完全實(shí)現(xiàn)這種打包和部署技術(shù)的優(yōu)勢(shì),運(yùn)營團(tuán)隊(duì)需要運(yùn)行容器的合適環(huán)境。運(yùn)營者需要一個(gè)安全的操作系統(tǒng),它能夠在邊界上保護(hù)容器安全、從容器中保護(hù)主機(jī)內(nèi)核,以及保護(hù)容器彼此之間的安全。
容器是隔離而資源受限的 Linux 進(jìn)程,允許你在一個(gè)共享的宿主機(jī)內(nèi)核上運(yùn)行沙盒化的應(yīng)用程序。保護(hù)容器的方法與保護(hù)你的 Linux 中運(yùn)行的任何進(jìn)程的方法是一樣的。降低權(quán)限是非常重要的,也是保護(hù)容器安全的最佳實(shí)踐。最好使用盡可能小的權(quán)限去創(chuàng)建容器。容器應(yīng)該以一個(gè)普通用戶的權(quán)限來運(yùn)行,而不是 root 權(quán)限的用戶。在 Linux 中可以使用多個(gè)層面的安全加固手段,Linux 命名空間、安全強(qiáng)化 Linux(SELinux)、cgroups 、capabilities(LCTT 譯注:Linux 內(nèi)核的一個(gè)安全特性,它打破了傳統(tǒng)的普通用戶與 root 用戶的概念,在進(jìn)程級(jí)提供更好的安全控制)、以及安全計(jì)算模式( seccomp ),這五種 Linux 的安全特性可以用于保護(hù)容器的安全。
2. 容器內(nèi)容(使用可信來源)
在談到安全時(shí),首先要考慮你的容器里面有什么?例如 ,有些時(shí)候,應(yīng)用程序和基礎(chǔ)設(shè)施是由很多可用組件所構(gòu)成的。它們中的一些是開源的軟件包,比如,Linux 操作系統(tǒng)、Apache Web 服務(wù)器、Red Hat JBoss 企業(yè)應(yīng)用平臺(tái)、PostgreSQL,以及 Node.js。這些軟件包的容器化版本已經(jīng)可以使用了,因此,你沒有必要自己去構(gòu)建它們。但是,對(duì)于你從一些外部來源下載的任何代碼,你需要知道這些軟件包的原始來源,是誰構(gòu)建的它,以及這些包里面是否包含惡意代碼。
3. 容器注冊(cè)(安全訪問容器鏡像)
你的團(tuán)隊(duì)的容器構(gòu)建于下載的公共容器鏡像,因此,訪問和升級(jí)這些下載的容器鏡像以及內(nèi)部構(gòu)建鏡像,與管理和下載其它類型的二進(jìn)制文件的方式是相同的,這一點(diǎn)至關(guān)重要。許多私有的注冊(cè)庫支持容器鏡像的存儲(chǔ)。選擇一個(gè)私有的注冊(cè)庫,可以幫你將存儲(chǔ)在它的注冊(cè)中的容器鏡像實(shí)現(xiàn)策略自動(dòng)化。
4. 安全性與構(gòu)建過程
在一個(gè)容器化環(huán)境中,軟件構(gòu)建過程是軟件生命周期的一個(gè)階段,它將所需的運(yùn)行時(shí)庫和應(yīng)用程序代碼集成到一起。管理這個(gè)構(gòu)建過程對(duì)于保護(hù)軟件棧安全來說是很關(guān)鍵的。遵守“一次構(gòu)建,到處部署”的原則,可以確保構(gòu)建過程的結(jié)果正是生產(chǎn)系統(tǒng)中需要的。保持容器的恒定不變也很重要 — 換句話說就是,不要對(duì)正在運(yùn)行的容器打補(bǔ)丁,而是,重新構(gòu)建和部署它們。
不論是因?yàn)槟闾幱谝粋€(gè)高強(qiáng)度監(jiān)管的行業(yè)中,還是只希望簡單地優(yōu)化你的團(tuán)隊(duì)的成果,設(shè)計(jì)你的容器鏡像管理以及構(gòu)建過程,可以使用容器層的優(yōu)勢(shì)來實(shí)現(xiàn)控制分離,因此,你應(yīng)該去這么做:
- 運(yùn)營團(tuán)隊(duì)管理基礎(chǔ)鏡像
- 架構(gòu)師管理中間件、運(yùn)行時(shí)、數(shù)據(jù)庫,以及其它解決方案
- 開發(fā)者專注于應(yīng)用程序?qū)用妫⑶抑粚懘a
最后,標(biāo)記好你的定制構(gòu)建容器,這樣可以確保在構(gòu)建和部署時(shí)不會(huì)搞混亂。
5. 控制好在同一個(gè)集群內(nèi)部署應(yīng)用
如果是在構(gòu)建過程中出現(xiàn)的任何問題,或者在鏡像被部署之后發(fā)現(xiàn)的任何漏洞,那么,請(qǐng)?jiān)诨诓呗缘摹⒆詣?dòng)化工具上添加另外的安全層。
我們來看一下,一個(gè)應(yīng)用程序的構(gòu)建使用了三個(gè)容器鏡像層:內(nèi)核、中間件,以及應(yīng)用程序。如果在內(nèi)核鏡像中發(fā)現(xiàn)了問題,那么只能重新構(gòu)建鏡像。一旦構(gòu)建完成,鏡像就會(huì)被發(fā)布到容器平臺(tái)注冊(cè)庫中。這個(gè)平臺(tái)可以自動(dòng)檢測到發(fā)生變化的鏡像。對(duì)于基于這個(gè)鏡像的其它構(gòu)建將被觸發(fā)一個(gè)預(yù)定義的動(dòng)作,平臺(tái)將自己重新構(gòu)建應(yīng)用鏡像,合并該修復(fù)的庫。
一旦構(gòu)建完成,鏡像將被發(fā)布到容器平臺(tái)的內(nèi)部注冊(cè)庫中。在它的內(nèi)部注冊(cè)庫中,會(huì)立即檢測到鏡像發(fā)生變化,應(yīng)用程序在這里將會(huì)被觸發(fā)一個(gè)預(yù)定義的動(dòng)作,自動(dòng)部署更新鏡像,確保運(yùn)行在生產(chǎn)系統(tǒng)中的代碼總是使用更新后的最新的鏡像。所有的這些功能協(xié)同工作,將安全功能集成到你的持續(xù)集成和持續(xù)部署(CI/CD)過程和管道中。
6. 容器編配:保護(hù)容器平臺(tái)安全
當(dāng)然了,應(yīng)用程序很少會(huì)以單一容器分發(fā)。甚至,簡單的應(yīng)用程序一般情況下都會(huì)有一個(gè)前端、一個(gè)后端、以及一個(gè)數(shù)據(jù)庫。而在容器中以微服務(wù)模式部署的應(yīng)用程序,意味著應(yīng)用程序?qū)⒉渴鹪诙鄠€(gè)容器中,有時(shí)它們?cè)谕慌_(tái)宿主機(jī)上,有時(shí)它們是分布在多個(gè)宿主機(jī)或者節(jié)點(diǎn)上,如下面的圖所示:
在大規(guī)模的容器部署時(shí),你應(yīng)該考慮:
- 哪個(gè)容器應(yīng)該被部署在哪個(gè)宿主機(jī)上?
- 那個(gè)宿主機(jī)應(yīng)該有什么樣的性能?
- 哪個(gè)容器需要訪問其它容器?它們之間如何發(fā)現(xiàn)彼此?
- 你如何控制和管理對(duì)共享資源的訪問,像網(wǎng)絡(luò)和存儲(chǔ)?
- 如何監(jiān)視容器健康狀況?
- 如何去自動(dòng)擴(kuò)展性能以滿足應(yīng)用程序的需要?
- 如何在滿足安全需求的同時(shí)啟用開發(fā)者的自助服務(wù)?
考慮到開發(fā)者和運(yùn)營者的能力,提供基于角色的訪問控制是容器平臺(tái)的關(guān)鍵要素。例如,編配管理服務(wù)器是中心訪問點(diǎn),應(yīng)該接受最高級(jí)別的安全檢查。API 是規(guī)模化的自動(dòng)容器平臺(tái)管理的關(guān)鍵,可以用于為 pod、服務(wù),以及復(fù)制控制器驗(yàn)證和配置數(shù)據(jù);在入站請(qǐng)求上執(zhí)行項(xiàng)目驗(yàn)證;以及調(diào)用其它主要系統(tǒng)組件上的觸發(fā)器。
7. 網(wǎng)絡(luò)隔離
在容器中部署現(xiàn)代微服務(wù)應(yīng)用,經(jīng)常意味著跨多個(gè)節(jié)點(diǎn)在多個(gè)容器上部署。考慮到網(wǎng)絡(luò)防御,你需要一種在一個(gè)集群中的應(yīng)用之間的相互隔離的方法。一個(gè)典型的公有云容器服務(wù),像 Google 容器引擎(GKE)、Azure 容器服務(wù),或者 Amazon Web 服務(wù)(AWS)容器服務(wù),是單租戶服務(wù)。他們讓你在你初始化建立的虛擬機(jī)集群上運(yùn)行你的容器。對(duì)于多租戶容器的安全,你需要容器平臺(tái)為你啟用一個(gè)單一集群,并且分割流量以隔離不同的用戶、團(tuán)隊(duì)、應(yīng)用、以及在這個(gè)集群中的環(huán)境。
使用網(wǎng)絡(luò)命名空間,容器內(nèi)的每個(gè)集合(即大家熟知的 “pod”)都會(huì)得到它自己的 IP 和綁定的端口范圍,以此來從一個(gè)節(jié)點(diǎn)上隔離每個(gè) pod 網(wǎng)絡(luò)。除使用下面所述的方式之外,默認(rèn)情況下,來自不同命名空間(項(xiàng)目)的 pod 并不能發(fā)送或者接收其它 pod 上的包和不同項(xiàng)目的服務(wù)。你可以使用這些特性在同一個(gè)集群內(nèi)隔離開發(fā)者環(huán)境、測試環(huán)境,以及生產(chǎn)環(huán)境。但是,這樣會(huì)導(dǎo)致 IP 地址和端口數(shù)量的激增,使得網(wǎng)絡(luò)管理更加復(fù)雜。另外,容器是被設(shè)計(jì)為反復(fù)使用的,你應(yīng)該在處理這種復(fù)雜性的工具上進(jìn)行投入。在容器平臺(tái)上比較受歡迎的工具是使用 軟件定義網(wǎng)絡(luò) (SDN) 提供一個(gè)定義的網(wǎng)絡(luò)集群,它允許跨不同集群的容器進(jìn)行通訊。
8. 存儲(chǔ)
容器即可被用于無狀態(tài)應(yīng)用,也可被用于有狀態(tài)應(yīng)用。保護(hù)外加的存儲(chǔ)是保護(hù)有狀態(tài)服務(wù)的一個(gè)關(guān)鍵要素。容器平臺(tái)對(duì)多種受歡迎的存儲(chǔ)提供了插件,包括網(wǎng)絡(luò)文件系統(tǒng)(NFS)、AWS 彈性塊存儲(chǔ)(EBS)、GCE 持久磁盤、GlusterFS、iSCSI、 RADOS(Ceph)、Cinder 等等。
一個(gè)持久卷(PV)可以通過資源提供者支持的任何方式裝載到一個(gè)主機(jī)上。提供者有不同的性能,而每個(gè) PV 的訪問模式被設(shè)置為特定的卷支持的特定模式。例如,NFS 能夠支持多路客戶端同時(shí)讀/寫,但是,一個(gè)特定的 NFS 的 PV 可以在服務(wù)器上被發(fā)布為只讀模式。每個(gè) PV 有它自己的一組反應(yīng)特定 PV 性能的訪問模式的描述,比如,ReadWriteOnce、ReadOnlyMany、以及 ReadWriteMany。
9. API 管理、終端安全、以及單點(diǎn)登錄(SSO)
保護(hù)你的應(yīng)用安全,包括管理應(yīng)用、以及 API 的認(rèn)證和授權(quán)。
Web SSO 能力是現(xiàn)代應(yīng)用程序的一個(gè)關(guān)鍵部分。在構(gòu)建它們的應(yīng)用時(shí),容器平臺(tái)帶來了開發(fā)者可以使用的多種容器化服務(wù)。
API 是微服務(wù)構(gòu)成的應(yīng)用程序的關(guān)鍵所在。這些應(yīng)用程序有多個(gè)獨(dú)立的 API 服務(wù),這導(dǎo)致了終端服務(wù)數(shù)量的激增,它就需要額外的管理工具。推薦使用 API 管理工具。所有的 API 平臺(tái)應(yīng)該提供多種 API 認(rèn)證和安全所需要的標(biāo)準(zhǔn)選項(xiàng),這些選項(xiàng)既可以單獨(dú)使用,也可以組合使用,以用于發(fā)布證書或者控制訪問。
這些選項(xiàng)包括標(biāo)準(zhǔn)的 API key、應(yīng)用 ID 和密鑰對(duì),以及 OAuth 2.0。
10. 在一個(gè)聯(lián)合集群中的角色和訪問管理
在 2016 年 7 月份,Kubernetes 1.3 引入了 Kubernetes 聯(lián)合集群。這是一個(gè)令人興奮的新特性之一,它是在 Kubernetes 上游、當(dāng)前的 Kubernetes 1.6 beta 中引用的。聯(lián)合是用于部署和訪問跨多集群運(yùn)行在公有云或企業(yè)數(shù)據(jù)中心的應(yīng)用程序服務(wù)的。多個(gè)集群能夠用于去實(shí)現(xiàn)應(yīng)用程序的高可用性,應(yīng)用程序可以跨多個(gè)可用區(qū)域,或者去啟用部署公共管理,或者跨不同的供應(yīng)商進(jìn)行遷移,比如,AWS、Google Cloud、以及 Azure。
當(dāng)管理聯(lián)合集群時(shí),你必須確保你的編配工具能夠提供你所需要的跨不同部署平臺(tái)的實(shí)例的安全性。一般來說,認(rèn)證和授權(quán)是很關(guān)鍵的 —— 不論你的應(yīng)用程序運(yùn)行在什么地方,將數(shù)據(jù)安全可靠地傳遞給它們,以及管理跨集群的多租戶應(yīng)用程序。Kubernetes 擴(kuò)展了聯(lián)合集群,包括對(duì)聯(lián)合的秘密數(shù)據(jù)、聯(lián)合的命名空間、以及 Ingress objects 的支持。
選擇一個(gè)容器平臺(tái)
當(dāng)然,它并不僅關(guān)乎安全。你需要提供一個(gè)你的開發(fā)者團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)有相關(guān)經(jīng)驗(yàn)的容器平臺(tái)。他們需要一個(gè)安全的、企業(yè)級(jí)的基于容器的應(yīng)用平臺(tái),它能夠同時(shí)滿足開發(fā)者和運(yùn)營者的需要,而且還能夠提高操作效率和基礎(chǔ)設(shè)施利用率。
想從 Daniel 在 歐盟開源峰會(huì) 上的 容器安全的十個(gè)層面 的演講中學(xué)習(xí)更多知識(shí)嗎?這個(gè)峰會(huì)已于 10 月 23 - 26 日在 Prague 舉行。
