मुख्य विषयवस्तु में जाएं
सवालों पर वापस जाएं

कंटेनर सुरक्षा क्या है?

कंटेनर सुरक्षा कंटेनर, उसके अनुप्रयोग और प्रदर्शन की सुरक्षा के लिए सुरक्षा उपकरणों और नीतियों का उपयोग है जिसमें बुनियादी ढांचे, सॉफ्टवेयर आपूर्ति श्रृंखला, सिस्टम टूल, सिस्टम लाइब्रेरी और साइबर सुरक्षा खतरों के खिलाफ रनटाइम शामिल हैं।

कंटेनर सुरक्षा की चुनौतियाँ क्या हैं?

कंटेनर एक पारिस्थितिकी तंत्र में रहते हैं - कंटेनर एक उद्यम के भीतर स्टैंडअलोन तैनात नहीं होते हैं। कंटेनर वर्कलोड को एक आर्किटेक्चर के हिस्से के रूप में तैनात किया जाता है जिसमें सार्वजनिक (एडब्ल्यूएस, जीसीपी, एज़्योर) क्लाउड, निजी क्लाउड (वीएमवेयर) और हाइब्रिड क्लाउड शामिल हो सकते हैं, जो सर्वर और वीएम से युक्त पारंपरिक वर्कलोड के साथ एकीकृत होते हैं, जबकि गणना पक्ष पर सर्वर रहित घटकों के साथ काम करते हैं। ये उद्यम इन्फ्रास्ट्रक्चर-ए-ए-सर्विस (IaaS) और प्लेटफॉर्म-एज-ए-सर्विस (PaaS) सेवाओं जैसे S3 बकेट या RDS का भी उपयोग कर सकते हैं। इसलिए कंटेनर वर्कलोड को एंटरप्राइज़ इकोसिस्टम के हिस्से के रूप में सुरक्षित करने की आवश्यकता है।

कंटेनर अल्पकालिक हैं: कंटेनर जीवनचक्र को अक्सर सेकंड में मापा जाता है, लेकिन उच्च स्तर की परिवर्तनशीलता भी होती है जो सामान्यीकरण को कठिन बनाती है। सुरक्षा टीमों को कंटेनरों की सुरक्षा और अखंडता के लिए खाते की आवश्यकता होती है जो केवल कुछ सेकंड के लिए ऑनलाइन हो सकते हैं, और अन्य जो हफ्तों तक ऑनलाइन हो सकते हैं।

कंटेनर CI/CD DevOps पाइपलाइनहरूमा बनाइएको र तैनात गरिन्छ। कंटेनर वर्कलोड डेवलपर के नेतृत्व में होते हैं। सुरक्षा के लिए चुनौती डेवलपर्स को बोर्नसिक्योर एप्लिकेशन बनाने के लिए सशक्त बनाना है।

क्लाउड सुरक्षा मुद्रा प्रबंधन (CSPM)

कंटेनरों के लिए CSPM

Skyhigh Security कंटेनर रन टाइम, ऑर्केस्ट्रेशन सिस्टम (जैसे कुबेरनेट्स), आईएएएस इन्फ्रास्ट्रक्चर कंटेनर वर्कलोड, स्टोरेज कॉन्फ़िगरेशन, नेटवर्क कॉन्फ़िगरेशन, आईएएम सेटिंग्स / भूमिकाएं आदि चलाने के लिए सीआईएस बेंचमार्क स्कैन और अन्य सर्वोत्तम अभ्यास मूल्यांकन प्रदान कर सकते हैं। यह मदद करता है:

  • सुनिश्चित करें कि पर्यावरण का कॉन्फ़िगरेशन जोखिम का स्रोत नहीं है (CSPM)
  • सुनिश्चित करें कि पर्यावरण का विन्यास समय के साथ बहाव नहीं करता है, अनजाने जोखिम को उजागर करता है

कंटेनरों के लिए भेद्यता स्कैनिंग

कंटेनर तीसरे पक्ष के घटकों का महत्वपूर्ण रूप से लाभ उठाते हैं। कंटेनर बिल्ड के सभी घटकों का मूल्यांकन किसी भी ज्ञात या शोषण योग्य कमजोरियों के लिए किया जाना चाहिए।

भेद्यता स्कैनिंग निर्माण समय पर कंटेनरों में एम्बेडेड घटकों का मूल्यांकन करती है और समय-समय पर यह सुनिश्चित करने के लिए स्कैन की जाती है कि कंटेनर वर्कलोड में दुर्भावनापूर्ण अभिनेताओं के उतरने के जोखिम को कम करने के लिए ज्ञात जोखिम उजागर और कम किए गए हैं।

नैनोसेगमेंटेशन

जटिल और गतिशील वर्कलोड के व्यवहार को सुरक्षित करने के लिए ज्ञात अच्छे कॉन्फ़िगरेशन के आधार पर अंतर-कंटेनर संचार की खोज करें:

  • कंटेनर प्रक्रियाओं के बीच नेटवर्क संचार के व्यवहार को इस तरह से खोजें और मॉनिटर करें जो कंटेनरों की अल्पकालिक प्रकृति से निपट सकता है, और आईपी पते जैसे बाहरी कारकों पर भरोसा नहीं करता है।
  • असामान्य संचार का पता लगाएं और उपयोगकर्ता वरीयता के आधार पर सूचित या ब्लॉक करें।
  • कंटेनरों के संस्करणों के बीच संचार पैटर्न में परिवर्तन का पता लगाएं क्योंकि एप्लिकेशन समय के साथ विकसित होता है।
  • उत्तोलन ने वर्कलोड को सुरक्षित करने के तरीके के रूप में अच्छे कॉन्फ़िगरेशन को जाना, जैसा कि ज्ञात बुरे के साथ रखने का विरोध किया गया था।

Skyhigh Security समाधान एक कंटेनर जीवनचक्र के लिए मैप किया गया

सुरक्षा को डेवलपर्स को धीमा नहीं करना चाहिए या कंटेनर जैसे क्लाउड फ्रेंडली आर्किटेक्चर को अपनाना चाहिए। Skyhigh Security एक निर्बाध एकीकृत सुरक्षा मंच प्रदान करता है जो उन उपकरणों के साथ एकीकृत होता है जो डेवलपर्स अपने अनुप्रयोगों को बनाए रखने के लिए उपयोग करना चुनते हैं। कंटेनर सुरक्षा ठीक से कॉन्फ़िगर किए गए बुनियादी ढांचे और ऑर्केस्ट्रेशन इंजन को सुनिश्चित करके, कंटेनरों में एम्बेडेड कोड के लिए शोषण के जोखिम का मूल्यांकन करके, और ज्ञात अच्छे नेटवर्क व्यवहार को प्रमाणित करने के लिए एक लचीली सॉफ्टवेयर परिभाषित विधि प्रदान कर सकती है जो कंटेनर वर्कलोड के तेजी से बदलते वातावरण से निपट सकती है।

बाईं ओर शिफ्ट करें: DevOps से DevSecOps

कंटेनर एक बहुत ही डेवलपर-केंद्रित प्रकार का कार्यभार है। यह देखते हुए कि डेवलपर्स को उपयोग में आने वाली वास्तुकला और सेवाओं पर अधिक प्रत्यक्ष नियंत्रण मिलता है, सुरक्षा टीमों को नीति स्थापित करने, सर्वोत्तम प्रथाओं के खिलाफ तैनाती का मूल्यांकन करने और किसी भी वातावरण में होने वाले अपरिहार्य बहाव की निगरानी करने के लिए एक अतुल्यकालिक तरीके की आवश्यकता होती है। कंटेनरों और माइक्रोसर्विस आर्किटेक्चर के साथ, चर की संख्या और परिवर्तन की गति पूर्व में कसकर नियंत्रित हार्डवेयर या वीएम-आधारित तैनाती से काफी हद तक बढ़ गई है। कंटेनर जीवनचक्र को अक्सर सेकंड में मापा जाता है, लेकिन उच्च स्तर की परिवर्तनशीलता भी होती है जो सामान्यीकरण को संभावित रूप से खतरनाक बनाती है। सुरक्षा टीमों को कंटेनरों की सुरक्षा और अखंडता के लिए खाते की आवश्यकता होती है जो केवल कुछ सेकंड के लिए ऑनलाइन हो सकते हैं, और अन्य जो लगातार हफ्तों तक ऑनलाइन हो सकते हैं। Skyhigh Security बोर्नसिक्योर कंटेनर प्रदान करता है जिसमें शामिल हैं:

  • क्लाउड सुरक्षा मुद्रा प्रबंधन क्लाउड वातावरण को लगातार स्कैन करने के लिए DevOps पाइपलाइन (शिफ्ट लेफ्ट) में एकीकृत बहाव से जोखिम का पता लगाने के लिए यह सुनिश्चित करने के लिए कि जोखिम को तैनात करने से पहले हल किया गया है।
  • कंटेनरों के भीतर घटकों का भेद्यता मूल्यांकन स्वयं यह सुनिश्चित करने के लिए कि उद्यम DevOps पाइपलाइन (शिफ्ट लेफ्ट) में एकीकृत ज्ञात कारनामों के साथ कोड तैनात नहीं कर रहे हैं। Skyhigh Security कंटेनर कलाकृतियों की आवधिक रीस्कैनिंग भी शामिल है ताकि यह पता लगाया जा सके कि नई कमजोरियां उन कंटेनरों को प्रभावित करती हैं जो पहले ही बनाए जा चुके हैं और उत्पादन में चल रहे हैं।

पारंपरिक DevOps प्रक्रियाएं: परंपरागत रूप से, सुरक्षा को तब तक ध्यान में नहीं रखा जाता है या सत्यापित नहीं किया जाता है जब तक कि अनुप्रयोगों को उत्पादन वातावरण में तैनात नहीं किया जाता है।

आज, क्लाउड-नेटिव एप्लिकेशन को बोर्नसिक्योर कंटेनर की आवश्यकता होती है: सुरक्षा DevOps पाइपलाइन में एम्बेडेड है जो डेवलपर्स को सुरक्षा प्रतिक्रिया प्रदान करती है क्योंकि एप्लिकेशन बनाए जाते हैं या कोड चेक इन किया जाता है।

कंटेनर सुरक्षा 101 - शर्तों की एक शब्दावली

एस Azure के लिए एंटरप्राइज़ कंटेनर प्लेटफ़ॉर्म S/W सुइट k8s पर आधारित है। बंदरगाह-मज़दूर एक कंपनी और उस उपकरण का नाम जिसे उन्होंने कंटेनरों का उपयोग करके एप्लिकेशन बनाना, परिनियोजित करना और चलाना आसान बनाने के लिए डिज़ाइन किया है. नैनोसेगमेंटेशन एक लचीला और महीन दाने वाला = विभाजन जो देखे गए व्यवहार पर आधारित है।
असंगति कुछ जो मानक, सामान्य या अपेक्षित से विचलित होता है। वेग समय के साथ कॉन्फ़िगरेशन परिवर्तन या प्रशासनिक कार्यों का संचय जो ज्ञात अच्छे कॉन्फ़िगरेशन से जोखिम और विचलन का परिचय दे सकता है। नेटवर्क हमले की सतह हमले की सतह में एक ऐसे वातावरण की समग्रता शामिल होती है जिसका एक हमलावर एक सफल हमले को अंजाम देने के लिए शोषण करने का प्रयास कर सकता है, जिसमें सभी प्रोटोकॉल, इंटरफेस, तैनात सॉफ्टवेयर और सेवाएं शामिल हैं।
निर्माण कर किसी ऐसी वस्तु का निर्माण जिसका अवलोकन योग्य और मूर्त परिणाम हो। बिल्ड स्रोत कोड फ़ाइलों को स्टैंडअलोन सॉफ़्टवेयर आर्टिफैक्ट (ओं) में परिवर्तित करने की प्रक्रिया है जिसे कंप्यूटर पर चलाया जा सकता है। ईकेएस Amazon के लिए Enterprise Container Platform S/W Suite k8s पर आधारित है। बड़ी नली स्वचालित प्रक्रियाओं का एक सेट जो डेवलपर्स और DevOps पेशेवरों को अपने उत्पादन गणना प्लेटफार्मों पर अपने कोड को मज़बूती से और कुशलता से संकलित, निर्माण और तैनात करने की अनुमति देता है।
सीआईसीडी निरंतर एकीकरण और निरंतर वितरण की संयुक्त प्रथाएं। ईसीएस Amazon के लिए Enterprise Container Platform S/W सुइट, मालिकाना ऑर्केस्ट्रेशन का उपयोग करके, जो k8s को व्यापक रूप से अपनाने से पहले का है। विशेषाधिकार केवल उपयोगकर्ताओं को कुछ गतिविधियों को करने की अनुमति देने की अवधारणा। उदाहरण के लिए, एक साधारण उपयोगकर्ता को आमतौर पर ऑपरेटिंग सिस्टम फ़ाइलों को बदलने से रोका जाता है, जबकि एक सिस्टम व्यवस्थापक को आमतौर पर ऐसा करने की अनुमति होती है।
सीआईएस बेंचमार्क कंटेनर और कुबेरनेट्स सहित लक्ष्य प्रणाली के सुरक्षित कॉन्फ़िगरेशन के लिए सर्वोत्तम अभ्यास। बेंचमार्क को साइबर सुरक्षा विशेषज्ञों की सहमति से सेंटर फॉर इंटरनेट सिक्योरिटी (सीआईएस) नामक एक गैर-लाभकारी संस्था द्वारा विकसित किया गया है। अल्‍पकालिक कंटेनर निर्धारित करने के लिए उपयोग किया जाने वाला गुण. चूंकि कंटेनर अल्पकालिक होते हैं, घंटों में औसत जीवनकाल के साथ, उन्हें अल्पकालिक कहा जाता है। रिपोजिटरी (रेपो) एक कंटेनर छवि भंडार संबंधित कंटेनर छवियों का एक संग्रह है, जो आमतौर पर एक ही एप्लिकेशन या सेवा के विभिन्न संस्करण प्रदान करता है।
कंटेनर सॉफ्टवेयर की मानक इकाई जो कोड और उसकी सभी निर्भरताओं को पैकेज करती है, इसलिए एप्लिकेशन एक कंप्यूटिंग वातावरण से दूसरे में जल्दी और मज़बूती से चलता है। एक कंटेनर छवि सॉफ्टवेयर का एक हल्का, स्टैंडअलोन, निष्पादन योग्य पैकेज है जिसमें एप्लिकेशन चलाने के लिए आवश्यक सब कुछ शामिल है: कोड, रनटाइम, सिस्टम टूल्स, सिस्टम लाइब्रेरी और सेटिंग्स। फ़िंगरप्रिंटिंग कलाकृतियों के साथ-साथ कलाकृतियों के व्यवहार को ट्रैक करने की क्षमता, उपयोगकर्ताओं को यह देखने देती है कि बिल्ड में क्या हुआ और उस बिल्ड का उपयोग कैसे और कहाँ किया जा रहा है।

फोरेंसिक किसी भी सुरक्षा उल्लंघन के प्रभाव को समझने और रोकने के लिए एक पोस्टमॉर्टम विश्लेषण।

शिफ्ट बाएँ सुरक्षा कॉन्फ़िगरेशन और भेद्यता का एकीकरण DevOps पाइपलाइन में जाँच करता है। सुरक्षा को कोड के रूप में पेश किया जाता है या सिस्टम के लाइव होने की प्रतीक्षा करने के विपरीत बनाया जाता है। यह उत्पादन वातावरण (पहले) से बची हुई सुरक्षा लाता है, जहां सुरक्षा पारंपरिक रूप से की जाती है।
कंटेनर रजिस्ट्री कंटेनर छवियों को संग्रहीत करने के लिए एक भंडार। एक कंटेनर छवि में कई फाइलें होती हैं, जो एक एप्लिकेशन को एनकैप्सुलेट करती हैं। डेवलपर्स, परीक्षकों और CI/CD सिस्टम को अनुप्रयोग विकास प्रक्रिया के दौरान बनाई गई छवियों को संग्रहीत करने के लिए एक रजिस्ट्री का उपयोग करने की आवश्यकता होती है। रजिस्ट्री में रखी गई कंटेनर छवियों का उपयोग विकास के विभिन्न चरणों में किया जा सकता है। जीकेई Google के लिए एंटरप्राइज़ कंटेनर प्लैटफ़ॉर्म S/W सुइट, k8s पर आधारित.

अपरिवर्तनीय कंटेनर निर्धारित करने के लिए उपयोग किया जाने वाला गुण. एक बार बनाए जाने के बाद, अलग-अलग कंटेनर जीवनचक्र में नहीं बदलते हैं।

वर्चुअल मशीन (VM) एक आभासी वातावरण जो एक भौतिक हार्डवेयर सिस्टम पर निर्मित अपने स्वयं के सीपीयू, मेमोरी, नेटवर्क इंटरफेस और भंडारण के साथ वर्चुअल कंप्यूटर सिस्टम के रूप में कार्य करता है. हाइपरवाइजर नामक सॉफ्टवेयर मशीन के संसाधनों को हार्डवेयर से अलग करता है और उन्हें उचित रूप से वितरित करता है ताकि उनका उपयोग वीएम द्वारा किया जा सके।
कंटेनर रनटाइम सॉफ्टवेयर जो कंटेनरों को निष्पादित करता है और नोड पर कंटेनर छवियों का प्रबंधन करता है। जैसे डॉकर इंजन। के8एस कुबेरनेट्स को कभी-कभी k8s (K - आठ वर्ण - S) कहा जाता है। कार्य-भार एक असतत क्षमता या काम की मात्रा जिसे आप क्लाउड इंस्टेंस पर चलाना चाहते हैं।
देवऑप्स प्रथाओं का एक सेट जो सॉफ्टवेयर विकास (Dev) और सूचना प्रौद्योगिकी संचालन (Ops) को जोड़ता है जिसका उद्देश्य सिस्टम विकास जीवन चक्र को छोटा करना और उच्च सॉफ्टवेयर गुणवत्ता के साथ निरंतर वितरण प्रदान करना है। कुबेरनेट्स (k8s) एक ओपन-सोर्स कंटेनर ऑर्केस्ट्रेशन सिस्टम। यह मेजबानों के समूहों में एप्लिकेशन कंटेनरों की तैनाती, स्केलिंग और संचालन को स्वचालित करने के लिए एक मंच प्रदान करता है। शून्य-विश्वास कभी भरोसा न करें लेकिन सत्यापित करें। शून्य विश्वास सुरक्षा का मतलब है कि नेटवर्क के अंदर या बाहर से डिफ़ॉल्ट रूप से किसी पर भरोसा नहीं किया जाता है और नेटवर्क पर संसाधनों तक पहुंच प्राप्त करने का प्रयास करने वाले सभी लोगों से सत्यापन की आवश्यकता होती है।
देवसेकऑप्स DevSecOps DevOps प्रक्रिया के भीतर सुरक्षा प्रथाओं को एकीकृत करने का अभ्यास है। माइक्रोसेगमेंटेशन माइक्रोसेगमेंटेशन सॉफ्टवेयर डेटा केंद्रों और क्लाउड परिनियोजन में अत्यधिक दानेदार सुरक्षा क्षेत्र बनाने के लिए नेटवर्क वर्चुअलाइजेशन तकनीक का उपयोग करता है, जो प्रत्येक व्यक्तिगत कार्यभार को अलग करता है और इसे अलग से सुरक्षित करता है।