Vai al contenuto principale
Torna alle domande

Che cos'è la sicurezza dei container?

La sicurezza dei container è l'uso di strumenti e politiche di sicurezza per proteggere il container, la sua applicazione e le sue prestazioni, compresa l'infrastruttura, la catena di fornitura del software, gli strumenti di sistema, le librerie di sistema e il runtime dalle minacce alla sicurezza informatica.

Quali sono le sfide della sicurezza dei container?

I container vivono in un ecosistema - i container non vengono distribuiti in modo autonomo all'interno di un'azienda. I carichi di lavoro dei container vengono distribuiti come parte di un'architettura che può includere cloud pubblici (AWS, GCP, Azure), cloud privati (VMware) e cloud ibridi integrati con carichi di lavoro tradizionali composti da server e macchine virtuali, mentre lavorano con componenti serverless sul lato del calcolo. Queste aziende possono anche utilizzare servizi infrastructure-as-a-service (IaaS) e platform-as-a-service (PaaS), come i bucket S3 o RDS. I carichi di lavoro dei container devono quindi essere protetti come parte di un ecosistema aziendale.

I contenitori sono effimeri: I cicli di vita dei container sono spesso misurati in secondi, ma c'è anche un alto grado di variabilità che rende difficili le generalizzazioni. I team di sicurezza devono tenere conto della sicurezza e dell'integrità di container che possono essere online solo per pochi secondi e di altri che possono essere online per settimane.

I container vengono costruiti e distribuiti nelle pipeline CI/CD DevOps. I carichi di lavoro dei container tendono ad essere guidati dagli sviluppatori. La sfida per la sicurezza consiste nel mettere gli sviluppatori in condizione di produrre applicazioni che siano BornSecure.

Gestione della postura di sicurezza nel cloud (CSPM)

CSPM per i contenitori

Skyhigh Security può fornire scansioni di benchmark CIS e altre valutazioni di best practice per i tempi di esecuzione dei container, i sistemi di orchestrazione (come Kubernetes), le infrastrutture IaaS che eseguono i carichi di lavoro dei container, le configurazioni di storage, le configurazioni di rete, le impostazioni/ruoli IAM, ecc. Questo aiuta:

  • Assicurarsi che la configurazione dell'ambiente non sia una fonte di rischio (CSPM).
  • Assicurarsi che la configurazione dell'ambiente non vada alla deriva nel tempo, esponendo a rischi non intenzionali.

Scansione delle vulnerabilità per i container

I container sfruttano in modo significativo i componenti di terze parti. Tutti i componenti delle build dei container devono essere valutati per individuare eventuali debolezze note o sfruttabili.

La scansione delle vulnerabilità valuta i componenti incorporati nei container al momento della creazione e viene scansionata periodicamente per garantire che i rischi noti siano esposti e mitigati per ridurre il rischio che attori malintenzionati approdino in un carico di lavoro del container.

NanoSegmentazione

Scoprire le comunicazioni intercontenitore basate su configurazioni note e valide per proteggere il comportamento di carichi di lavoro complessi e dinamici:

  • Scoprire e monitorare il comportamento delle comunicazioni di rete tra i processi dei container in un modo che possa gestire la natura effimera dei container e non basarsi su fattori esterni come l'indirizzo IP.
  • Rileva le comunicazioni anomale e le notifica o le blocca in base alle preferenze dell'utente.
  • Rilevare i cambiamenti nei modelli di comunicazione tra le versioni dei contenitori, man mano che l'applicazione si evolve nel tempo.
  • Sfruttare le configurazioni buone conosciute come un modo per proteggere i carichi di lavoro, invece di stare al passo con quelle cattive conosciute.

Skyhigh Security soluzione mappata su un ciclo di vita del container

La sicurezza non deve rallentare gli sviluppatori o l'adozione di architetture cloud friendly come i container. Skyhigh Security offre una piattaforma di sicurezza perfettamente integrata che si integra con gli strumenti che gli sviluppatori scelgono di utilizzare per mantenere le loro applicazioni. La sicurezza dei container può fornire una difesa approfondita assicurando un'infrastruttura e motori di orchestrazione correttamente configurati, valutando il rischio di exploit per il codice incorporato nei container e un metodo flessibile definito dal software per certificare un comportamento di rete noto e buono, in grado di gestire l'ambiente in rapida evoluzione dei carichi di lavoro dei container durante il loro ciclo di vita.

Spostamento a sinistra: da DevOps a DevSecOps

I container sono un tipo di carico di lavoro molto incentrato sullo sviluppatore. Dato che gli sviluppatori hanno un controllo molto più diretto sull'architettura e sui servizi in uso, i team di sicurezza hanno bisogno di un modo asincrono per stabilire le policy, valutare le implementazioni rispetto alle best practice e monitorare l'inevitabile deriva che si verifica in qualsiasi ambiente. Con i container e le architetture di microservizi, il numero di variabili e il ritmo di cambiamento sono aumentati in modo sostanziale rispetto alle precedenti implementazioni strettamente controllate basate su hardware o VM. I cicli di vita dei container sono spesso misurati in secondi, ma c'è anche un alto grado di variabilità che rende le generalizzazioni potenzialmente pericolose. I team di sicurezza devono tenere conto della sicurezza e dell'integrità dei container che possono essere online solo per pochi secondi e di altri che possono essere online per settimane in modo continuativo. Skyhigh Security offre BornSecure Containers che include:

  • Cloud Security Posture Management per la scansione continua dell'ambiente cloud per rilevare i rischi di deriva, integrato nella pipeline DevOps (Shift Left) per garantire che il rischio sia risolto prima della distribuzione.
  • Valutazione della vulnerabilità dei componenti all'interno dei container stessi, per garantire che le aziende non stiano distribuendo codice con exploit noti integrati nella pipeline DevOps (Shift Left). Skyhigh Security include anche la ricognizione periodica degli artefatti dei container per rilevare quando nuove vulnerabilità interessano i container già costruiti e che potrebbero essere in esecuzione in produzione.

Processi DevOps tradizionali: Tradizionalmente, la sicurezza non viene presa in considerazione o verificata fino a quando le applicazioni non vengono distribuite negli ambienti di produzione.

Oggi le applicazioni cloud-native richiedono Container BornSecure: La sicurezza è incorporata nella pipeline DevOps, fornendo agli sviluppatori un feedback sulla sicurezza durante la costruzione delle applicazioni o il check-in del codice.

Sicurezza dei container 101 - Un glossario dei termini

KS Enterprise Container Platform S/W Suite per Azure basata su k8s. Docker Un'azienda e il nome dello strumento che ha progettato per rendere più facile la creazione, la distribuzione e l'esecuzione di applicazioni utilizzando i container. Nanosegmentazione Una =segmentazione flessibile e a grana fine, basata sul comportamento osservato.
Anomalia Qualcosa che si discosta da ciò che è standard, normale o atteso. Deriva L'accumulo di modifiche alla configurazione o di azioni amministrative nel corso del tempo che possono introdurre rischi e deviazioni dalla buona configurazione conosciuta. Superficie di attacco della rete La superficie di attacco è costituita dalla totalità di un ambiente che un aggressore può tentare di sfruttare per portare a termine un attacco con successo, compresi tutti i protocolli, le interfacce, il software e i servizi distribuiti.
Costruire Costruzione di qualcosa che ha un risultato osservabile e tangibile. La creazione è il processo di conversione dei file di codice sorgente in artefatti software autonomi che possono essere eseguiti su un computer. EKS Enterprise Container Platform S/W Suite per Amazon basata su k8s. Pipeline Un insieme di processi automatizzati che consentono agli sviluppatori e ai professionisti DevOps di compilare, costruire e distribuire in modo affidabile ed efficiente il loro codice sulle piattaforme di calcolo di produzione.
CICD Pratiche combinate di integrazione continua e consegna continua. ECS Enterprise Container Platform S/W Suite per Amazon utilizza un'orchestrazione proprietaria che precede l'ampia adozione di k8s. Privilegi Il concetto di consentire solo agli utenti di svolgere determinate attività. Ad esempio, ad un utente normale viene impedito di modificare i file del sistema operativo, mentre ad un amministratore di sistema viene permesso di farlo.
Benchmark CIS Le migliori pratiche per la configurazione sicura di un sistema di destinazione, compresi i container e Kubernetes. I benchmark sono sviluppati da un'organizzazione no-profit chiamata Center for Internet Security (CIS) attraverso un consenso di esperti di cybersicurezza. Ephemeral Proprietà utilizzata per definire i contenitori. Poiché i contenitori hanno vita breve, con una durata media in ore, si dice che sono effimeri. Repository (repo) Un repository di immagini di container è una raccolta di immagini di container correlate, che di solito forniscono versioni diverse della stessa applicazione o servizio.
Container Unità standard di software che impacchetta il codice e tutte le sue dipendenze, in modo che l'applicazione venga eseguita in modo rapido e affidabile da un ambiente informatico all'altro. L'immagine di un contenitore è un pacchetto di software leggero, autonomo ed eseguibile che include tutto ciò che serve per eseguire un'applicazione: codice, runtime, strumenti di sistema, librerie di sistema e impostazioni. Impronte digitali La capacità di tracciare gli artefatti e il comportamento degli artefatti, consentendo agli utenti di vedere cosa è stato fatto in una build e come e dove viene utilizzata quella build.

Forensics Un'analisi post mortem per comprendere e contenere l'impatto di qualsiasi violazione della sicurezza.

Shift Left L'integrazione della configurazione della sicurezza e dei controlli di vulnerabilità nella pipeline DevOps. La sicurezza viene introdotta mentre il codice viene controllato o costruito, invece di aspettare che i sistemi siano in funzione. Questo porta la sicurezza a sinistra (prima) degli ambienti di produzione, dove la sicurezza viene tradizionalmente effettuata.
Registro dei contenitori Un repository per l'archiviazione delle immagini dei contenitori. L'immagine di un container è composta da molti file, che incapsulano un'applicazione. Gli sviluppatori, i tester e i sistemi CI/CD devono utilizzare un registro per archiviare le immagini create durante il processo di sviluppo dell'applicazione. Le immagini del contenitore inserite nel registro possono essere utilizzate in varie fasi dello sviluppo. GKE Enterprise Container Platform S/W Suite per Google basata su k8s.

Proprietà immutabile utilizzata per definire i contenitori. I singoli contenitori non cambiano durante il ciclo di vita, una volta creati.

Macchina virtuale (VM) Un ambiente virtuale che funziona come un sistema informatico virtuale con la propria CPU, memoria, interfaccia di rete e storage, creato su un sistema hardware fisico. Il software chiamato hypervisor separa le risorse della macchina dall'hardware e le distribuisce in modo appropriato, affinché possano essere utilizzate dalla VM.
Container Runtime Software che esegue i container e gestisce le immagini dei container su un nodo, ad esempio Docker Engine. k8s Kubernetes è talvolta chiamato k8s (K - otto caratteri - S). Carico di lavoro Una capacità discreta o una quantità di lavoro che desidera eseguire su un'istanza cloud.
DevOps Un insieme di pratiche che combina lo sviluppo del software (Dev) e le operazioni informatiche (Ops), con l'obiettivo di abbreviare il ciclo di vita dello sviluppo dei sistemi e fornire una consegna continua con un'elevata qualità del software. Kubernetes (k8s) Un sistema di orchestrazione di container open-source. Offre una piattaforma per automatizzare la distribuzione, la scalabilità e le operazioni dei container di applicazioni su cluster di host. Zero-Trust Mai fidarsi ma verificare. La sicurezza a fiducia zero significa che per impostazione predefinita non ci si fida di nessuno, né all'interno né all'esterno della rete, e che è necessaria una verifica da parte di tutti coloro che cercano di accedere alle risorse della rete.
DevSecOps DevSecOps è la pratica di integrare le pratiche di sicurezza nel processo DevOps. Microsegmentazione Il software di microsegmentazione utilizza la tecnologia di virtualizzazione della rete per creare zone di sicurezza altamente granulari nei data center e nelle implementazioni cloud, che isolano ogni singolo carico di lavoro e lo proteggono separatamente.