تجاوز إلى المحتوى الرئيسي
العودة إلى الأسئلة

ما هو أمن الحاويات؟

أمن الحاويات هو استخدام أدوات وسياسات الأمان لحماية الحاوية وتطبيقها وأدائها بما في ذلك البنية التحتية وسلسلة توريد البرامج وأدوات النظام ومكتبات النظام ووقت التشغيل ضد تهديدات الأمن السيبراني.

ما هي تحديات أمن الحاويات؟

تعيش الحاويات في نظام بيئي - لا يتم نشر الحاويات بشكل مستقل داخل المؤسسة. يتم نشر أحمال عمل الحاويات كجزء من بنية قد تتضمن سحابة عامة (AWS وGCP وAzure) وسحابات خاصة (VMware) وسحابة مختلطة مدمجة مع أعباء العمل التقليدية التي تتكون من خوادم وأجهزة ظاهرية، أثناء العمل مع مكونات بدون خادم على جانب الحوسبة. قد تستخدم هذه المؤسسات أيضا خدمات البنية التحتية كخدمة (IaaS) وخدمات النظام الأساسي كخدمة (PaaS) مثل حاويات S3 أو RDS. لذلك يجب تأمين أحمال عمل الحاويات كجزء من النظام البيئي للمؤسسة.

الحاويات سريعة الزوال: غالبا ما تقاس دورات حياة الحاويات بالثواني ، ولكن هناك أيضا درجة عالية من التباين تجعل التعميمات صعبة. تحتاج فرق الأمن إلى حساب أمن وسلامة الحاويات التي قد تكون متصلة بالإنترنت لبضع ثوان فقط ، وغيرها من الحاويات التي قد تكون متصلة بالإنترنت لأسابيع.

يتم إنشاء الحاويات ونشرها في خطوط أنابيب CI / CD DevOps. تميل أحمال عمل الحاويات إلى أن يقودها المطور. يتمثل التحدي الذي يواجه الأمان في تمكين المطورين من إنتاج تطبيقات BornSecure.

إدارة وضع أمان السحابة (CSPM)

CSPM للحاويات

Skyhigh Security يمكن أن توفر عمليات مسح معيارية لرابطة الدول المستقلة وتقييمات أفضل الممارسات الأخرى لأوقات تشغيل الحاويات، وأنظمة التنسيق (مثل Kubernetes)، والبنى التحتية IaaS التي تشغل أحمال عمل الحاويات، وتكوينات التخزين، وتكوينات الشبكة، وإعدادات/أدوار IAM، وما إلى ذلك. هذا يساعد:

  • تأكد من أن تكوين البيئة ليس مصدرا للخطر (CSPM)
  • تأكد من أن تكوين البيئة لا ينجرف بمرور الوقت ، مما يعرض المخاطر غير المقصودة

فحص الثغرات الأمنية للحاويات

تستفيد الحاويات بشكل كبير من مكونات الطرف الثالث. يجب تقييم جميع مكونات بناء الحاويات بحثا عن أي نقاط ضعف معروفة أو قابلة للاستغلال.

يقوم فحص الثغرات الأمنية بتقييم المكونات المضمنة في الحاويات في وقت الإنشاء وفحصها بشكل دوري لضمان تعرض المخاطر المعروفة وتخفيفها لتقليل مخاطر هبوط الجهات الفاعلة الضارة في عبء عمل الحاوية.

تجزئة النانو

اكتشف الاتصالات بين الحاويات استنادا إلى التكوينات الجيدة المعروفة لتأمين سلوك أحمال العمل المعقدة والديناميكية:

  • اكتشاف ومراقبة سلوك اتصالات الشبكة بين عمليات الحاويات بطريقة يمكن أن تتعامل مع الطبيعة سريعة الزوال للحاويات ، ولا تعتمد على عوامل خارجية مثل عنوان IP.
  • الكشف عن الاتصالات غير الطبيعية والإخطار أو الحظر بناء على تفضيل المستخدم.
  • اكتشف التغييرات في أنماط الاتصال بين إصدارات الحاويات مع تطور التطبيق بمرور الوقت.
  • استفد من التكوينات الجيدة المعروفة كطريقة لتأمين أعباء العمل، بدلا من مواكبة السيئات المعروفة.

Skyhigh Security الحل المعين إلى دورة حياة الحاوية

يجب ألا يؤدي الأمان إلى إبطاء المطورين أو اعتماد البنى الصديقة للسحابة مثل الحاويات. Skyhigh Security يوفر نظاما أساسيا متكاملا للأمان يتكامل مع الأدوات التي يختار المطورون استخدامها للحفاظ على تطبيقاتهم. يمكن أن يوفر أمان الحاويات دفاعا متعمقا من خلال ضمان تكوين البنية التحتية ومحركات التنسيق بشكل صحيح، وتقييم مخاطر استغلال التعليمات البرمجية المضمنة في الحاويات، وطريقة مرنة محددة برمجيا للمصادقة على سلوك الشبكة الجيد المعروف الذي يمكنه التعامل مع البيئة سريعة التغير لأحمال عمل الحاويات عبر دورة حياتها.

التحول إلى اليسار: DevOps إلى DevSecOps

الحاويات هي نوع من عبء العمل يركز على المطور. نظرا لأن المطورين يحصلون على مزيد من التحكم المباشر في البنية والخدمات المستخدمة ، تحتاج فرق الأمان إلى طريقة غير متزامنة لوضع السياسة وتقييم عمليات النشر مقابل أفضل الممارسات ومراقبة الانجراف الحتمي الذي يحدث في أي بيئة. مع الحاويات وبنيات الخدمات المصغرة، زاد عدد المتغيرات ووتيرة التغيير بشكل كبير من الأجهزة التي كانت تخضع لرقابة صارمة سابقا أو عمليات النشر المستندة إلى الأجهزة الظاهرية. غالبا ما تقاس دورات حياة الحاوية بالثواني ، ولكن هناك أيضا درجة عالية من التباين تجعل التعميمات خطرة. تحتاج فرق الأمن إلى مراعاة أمن وسلامة الحاويات التي قد تكون متصلة بالإنترنت لبضع ثوان فقط ، وأخرى قد تكون متصلة بالإنترنت لأسابيع متواصلة. Skyhigh Security تقدم حاويات BornSecure التي تشمل:

  • إدارة وضع أمان السحابة لمسح بيئة السحابة باستمرار لاكتشاف المخاطر الناتجة عن الانجراف المدمج في خط أنابيب DevOps (Shift Left) لضمان حل المخاطر قبل نشرها.
  • تقييم الثغرات الأمنية للمكونات داخل الحاويات نفسها للتأكد من أن المؤسسات لا تنشر التعليمات البرمجية مع عمليات الاستغلال المعروفة المدمجة في خط أنابيب DevOps (Shift Left). Skyhigh Security يتضمن أيضا إعادة الفحص الدوري لعناصر الحاويات لاكتشاف متى تؤثر الثغرات الأمنية الجديدة على الحاويات التي تم إنشاؤها بالفعل والتي قد تكون قيد الإنتاج.

عمليات DevOps التقليدية: تقليديا ، لا يتم أخذ الأمان في الاعتبار أو التحقق منه إلا بعد نشر التطبيقات في بيئات الإنتاج.

اليوم، تتطلب التطبيقات السحابية الأصلية حاويات BornSecure: يتم تضمين الأمان في خط أنابيب DevOps لتزويد المطورين بملاحظات الأمان أثناء إنشاء التطبيقات أو عند إيداع التعليمات البرمجية.

أمن الحاويات 101 - مسرد المصطلحات

كانساس النظام الأساسي لحاوية المؤسسة S/W Suite ل Azure استنادا إلى k8s. عامل ميناء شركة واسم الأداة التي صمموها لتسهيل إنشاء التطبيقات ونشرها وتشغيلها باستخدام الحاويات. تجزئة النانو تجزئة مرنة ودقيقة = تستند إلى السلوك المرصود.
الشذوذ شيء ينحرف عما هو قياسي أو طبيعي أو متوقع. الانجراف تراكم تغييرات التكوين أو الإجراءات الإدارية بمرور الوقت التي يمكن أن تؤدي إلى مخاطر وانحرافات عن التكوين الجيد المعروف. سطح هجوم الشبكة يتكون سطح الهجوم من مجمل البيئة التي يمكن للمهاجم محاولة استغلالها لتنفيذ هجوم ناجح ، بما في ذلك جميع البروتوكولات والواجهات والبرامج والخدمات المنشورة.
بنى بناء شيء له نتيجة ملحوظة وملموسة. Build هي عملية تحويل ملفات التعليمات البرمجية المصدر إلى قطعة (قطع) برمجية مستقلة يمكن تشغيلها على جهاز كمبيوتر. إي إكس منصة حاويات المؤسسة S / W Suite لأمازون استنادا إلى k8s. خط انابيب مجموعة من العمليات المؤتمتة التي تسمح للمطورين ومحترفي DevOps بتجميع التعليمات البرمجية الخاصة بهم وإنشائها ونشرها بشكل موثوق وفعال على منصات حوسبة الإنتاج الخاصة بهم.
CICD الممارسات المشتركة للتكامل المستمر والتسليم المستمر. إي سي إس منصة حاوية المؤسسة S / W Suite لأمازون باستخدام تنسيق الملكية الذي يسبق الاعتماد الواسع ل k8s. امتيازات مفهوم السماح للمستخدمين فقط بالقيام بأنشطة معينة. على سبيل المثال ، عادة ما يتم منع المستخدم العادي من تغيير ملفات نظام التشغيل ، بينما يسمح عادة لمسؤول النظام بالقيام بذلك.
مؤشر رابطة الدول المستقلة أفضل الممارسات للتكوين الآمن للنظام الهدف بما في ذلك الحاويات وKubernetes. يتم تطوير المعايير من قبل منظمة غير ربحية تسمى مركز أمن الإنترنت (CIS) من خلال إجماع خبراء الأمن السيبراني. ظاعن الخاصية المستخدمة لتعريف الحاويات. نظرا لأن الحاويات قصيرة العمر ، بمتوسط عمر بالساعات ، يقال إنها سريعة الزوال. مستودع (ريبو) مستودع صور الحاوية عبارة عن مجموعة من صور الحاوية ذات الصلة ، وعادة ما توفر إصدارات مختلفة من نفس التطبيق أو الخدمة.
وعاء وحدة قياسية من البرامج التي تحزم التعليمات البرمجية وجميع تبعياتها ، بحيث يعمل التطبيق بسرعة وموثوقية من بيئة حوسبة إلى أخرى. صورة الحاوية عبارة عن حزمة برامج خفيفة الوزن ومستقلة وقابلة للتنفيذ تتضمن كل ما يلزم لتشغيل أحد التطبيقات: التعليمات البرمجية ووقت التشغيل وأدوات النظام ومكتبات النظام والإعدادات. البصمات القدرة على تتبع القطع الأثرية بالإضافة إلى سلوك القطع الأثرية ، مما يتيح للمستخدمين رؤية ما تم إدخاله في البناء وكيف وأين يتم استخدام هذا البناء.

الطب الشرعي تحليل ما بعد الوفاة لفهم واحتواء تأثير أي خرق أمني.

 إزاحة اليسار تكامل تكوين الأمان والتحقق من الثغرات الأمنية في خط أنابيب DevOps. يتم تقديم الأمان عند فحص التعليمات البرمجية أو إنشائها بدلا من انتظار تشغيل الأنظمة. هذا يجلب الأمن الأيسر (قبل) بيئات الإنتاج ، حيث يتم الأمن تقليديا.
سجل الحاويات مستودع لتخزين صور الحاوية. تتكون صورة الحاوية من العديد من الملفات التي تغلف التطبيق. يحتاج المطورون والمختبرون وأنظمة CI / CD إلى استخدام سجل لتخزين الصور التي تم إنشاؤها أثناء عملية تطوير التطبيق. يمكن استخدام صور الحاوية الموضوعة في السجل في مراحل مختلفة من التطوير. جي كي إي منصة حاوية المؤسسة S / W Suite ل Google استنادا إلى k8s.

ثابته الخاصية المستخدمة لتعريف الحاويات. لا تتغير الحاويات الفردية عبر دورة الحياة، بمجرد إنشائها.

 الجهاز الظاهري (VM) بيئة افتراضية تعمل كنظام كمبيوتر افتراضي مع وحدة المعالجة المركزية والذاكرة وواجهة الشبكة والتخزين الخاصة به ، والتي تم إنشاؤها على نظام أجهزة فعلي. يقوم برنامج يسمى برنامج Hypervisor بفصل موارد الجهاز عن الأجهزة وتوزيعها بشكل مناسب حتى يمكن استخدامها بواسطة الجهاز الظاهري.
وقت تشغيل الحاوية برنامج يقوم بتنفيذ الحاويات وإدارة صور الحاوية على عقدة. على سبيل المثال محرك عامل ميناء. K8S يطلق على Kubernetes أحيانا اسم k8s (K - ثمانية أحرف - S). عبء العمل إمكانية منفصلة أو مقدار العمل الذي ترغب في تشغيله على مثيل سحابي.
ديف أوبس مجموعة من الممارسات التي تجمع بين تطوير البرمجيات (Dev) وعمليات تكنولوجيا المعلومات (Ops) والتي تهدف إلى تقصير دورة حياة تطوير الأنظمة وتوفير التسليم المستمر بجودة عالية للبرمجيات. Kubernetes (k8s) نظام تنسيق حاوية مفتوح المصدر. يوفر نظاما أساسيا لأتمتة نشر حاويات التطبيقات وتوسيع نطاقها وعملياتها عبر مجموعات المضيفين. انعدام الثقة لا تثق أبدا ولكن تحقق. يعني أمان الثقة المعدومة أنه لا يوجد أحد موثوق به بشكل افتراضي من داخل الشبكة أو خارجها والتحقق مطلوب من كل شخص يحاول الوصول إلى الموارد الموجودة على الشبكة.
ديفسيكوبس DevSecOps هي ممارسة دمج ممارسات الأمان في عملية DevOps. التجزئة الدقيقة يستخدم برنامج التجزئة الدقيقة تقنية المحاكاة الافتراضية للشبكة لإنشاء مناطق أمان دقيقة للغاية في مراكز البيانات وعمليات النشر السحابية ، والتي تعزل كل عبء عمل فردي وتؤمنه بشكل منفصل.

مواضيع أخرى

مقدمة في إدارة وضع أمن البيانات (DSPM)

ما هي الوكلاء؟

الترميز مقابل التشفير

دليل خطوة بخطوة لأفضل ممارسات أمان السحابة

ما هي منصة حماية عبء العمل السحابية (CWPP)؟

قضايا أمان الحوسبة السحابية

ما هو عزل المتصفح؟

ما هو الأمن السحابي؟