ความปลอดภัยของคอนเทนเนอร์คืออะไร?
อะไรคือความท้าทายของ Container Security?
คอนเทนเนอร์อาศัยอยู่ในระบบนิเวศ—คอนเทนเนอร์จะไม่ถูกปรับใช้แบบสแตนด์อโลนภายในองค์กร ปริมาณงานคอนเทนเนอร์ถูกปรับใช้เป็นส่วนหนึ่งของสถาปัตยกรรมที่อาจรวมถึงคลาวด์สาธารณะ (AWS, GCP, Azure), คลาวด์ส่วนตัว (VMware) และไฮบริดคลาวด์ที่รวมเข้ากับปริมาณงานแบบดั้งเดิมที่ประกอบด้วยเซิร์ฟเวอร์และ VM ในขณะที่ทํางานกับส่วนประกอบแบบไร้เซิร์ฟเวอร์ในด้านการประมวลผล องค์กรเหล่านี้อาจใช้บริการ infrastructure-as-a-service (IaaS) และ platform-as-a-service (PaaS) เช่น บัคเก็ต S3 หรือ RDS ปริมาณงานคอนเทนเนอร์จึงจําเป็นต้องได้รับการรักษาความปลอดภัยโดยเป็นส่วนหนึ่งของระบบนิเวศขององค์กร
คอนเทนเนอร์เป็นแบบชั่วคราว: วงจรชีวิตของคอนเทนเนอร์มักจะวัดเป็นวินาที แต่ก็มีความแปรปรวนในระดับสูงที่ทําให้การวางนัยทั่วไปทําได้ยาก ทีมรักษาความปลอดภัยต้องคํานึงถึงความปลอดภัยและความสมบูรณ์ของคอนเทนเนอร์ที่อาจออนไลน์ได้เพียงไม่กี่วินาที และอื่นๆ ที่อาจออนไลน์เป็นเวลาหลายสัปดาห์
คอนเทนเนอร์ถูกสร้างและปรับใช้ในไปป์ไลน์ CI/CD DevOps ปริมาณงานคอนเทนเนอร์มักจะนําโดยนักพัฒนา ความท้าทายด้านความปลอดภัยคือการช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ BornSecure
การจัดการเสถียรภาพการรักษาความปลอดภัยบนคลาวด์ (CSPM)
CSPM สําหรับคอนเทนเนอร์
Skyhigh Security สามารถให้การสแกนเกณฑ์มาตรฐาน CIS และการประเมินแนวทางปฏิบัติที่ดีที่สุดอื่นๆ สําหรับเวลาทํางานของคอนเทนเนอร์ ระบบการประสาน (เช่น Kubernetes) โครงสร้างพื้นฐาน IaaS ที่รันปริมาณงานคอนเทนเนอร์ การกําหนดค่าพื้นที่จัดเก็บ การกําหนดค่าเครือข่าย การตั้งค่า/บทบาท IAM เป็นต้น สิ่งนี้ช่วย:
- ตรวจสอบให้แน่ใจว่าการกําหนดค่าของสภาพแวดล้อมไม่ใช่แหล่งที่มาของความเสี่ยง (CSPM)
- ตรวจสอบให้แน่ใจว่าการกําหนดค่าของสภาพแวดล้อมไม่ล่องลอยเมื่อเวลาผ่านไป ซึ่งเผยให้เห็นความเสี่ยงโดยไม่ได้ตั้งใจ
การสแกนช่องโหว่สําหรับคอนเทนเนอร์
คอนเทนเนอร์ใช้ประโยชน์จากส่วนประกอบของบุคคลที่สามอย่างมาก ส่วนประกอบทั้งหมดของการสร้างคอนเทนเนอร์ต้องได้รับการประเมินเพื่อหาจุดอ่อนที่ทราบหรือใช้ประโยชน์ได้
การสแกนช่องโหว่จะประเมินส่วนประกอบที่ฝังอยู่ในคอนเทนเนอร์ ณ เวลาที่สร้าง และสแกนเป็นระยะเพื่อให้แน่ใจว่าความเสี่ยงที่ทราบจะถูกเปิดเผยและบรรเทาลงเพื่อลดความเสี่ยงของผู้ประสงค์ร้ายที่ลงจอดในเวิร์กโหลดคอนเทนเนอร์
การแบ่งส่วนนาโน
ค้นพบการสื่อสารระหว่างคอนเทนเนอร์ตามการกําหนดค่าที่ดีที่ทราบเพื่อรักษาความปลอดภัยของปริมาณงานที่ซับซ้อนและไดนามิก:
- ค้นพบและตรวจสอบพฤติกรรมของการสื่อสารเครือข่ายระหว่างกระบวนการคอนเทนเนอร์ในลักษณะที่สามารถจัดการกับลักษณะชั่วคราวของคอนเทนเนอร์ และไม่ต้องพึ่งพาปัจจัยภายนอก เช่น ที่อยู่ IP
- ตรวจจับการสื่อสารที่ผิดปกติและแจ้งเตือนหรือบล็อกตามความต้องการของผู้ใช้
- ตรวจจับการเปลี่ยนแปลงในรูปแบบการสื่อสารระหว่างเวอร์ชันของคอนเทนเนอร์เมื่อแอปพลิเคชันพัฒนาไปตามกาลเวลา
- ใช้ประโยชน์จากการกําหนดค่าที่ดีที่รู้จักเพื่อรักษาความปลอดภัยปริมาณงาน แทนที่จะติดตามสิ่งที่ไม่ดีที่ทราบ
Skyhigh Security โซลูชันที่แมปกับวงจรชีวิตคอนเทนเนอร์
การรักษาความปลอดภัยไม่ควรทําให้นักพัฒนาช้าลงหรือการนําสถาปัตยกรรมที่เป็นมิตรกับระบบคลาวด์มาใช้ เช่น คอนเทนเนอร์ Skyhigh Security มอบแพลตฟอร์มความปลอดภัยแบบบูรณาการอย่างราบรื่นซึ่งรวมเข้ากับเครื่องมือที่นักพัฒนาเลือกใช้เพื่อรักษาแอปพลิเคชันของตน การรักษาความปลอดภัยคอนเทนเนอร์สามารถให้การป้องกันเชิงลึกโดยการรับรองโครงสร้างพื้นฐานที่กําหนดค่าอย่างเหมาะสมและเครื่องมือการประสาน ประเมินความเสี่ยงของการใช้ประโยชน์สําหรับโค้ดที่ฝังอยู่ในคอนเทนเนอร์ และวิธีการที่กําหนดโดยซอฟต์แวร์ที่ยืดหยุ่นเพื่อรับรองพฤติกรรมเครือข่ายที่ดีที่ทราบซึ่งสามารถจัดการกับสภาพแวดล้อมที่เปลี่ยนแปลงอย่างรวดเร็วของปริมาณงานคอนเทนเนอร์ตลอดวงจรชีวิต
เลื่อนไปทางซ้าย: DevOps เป็น DevSecOps
คอนเทนเนอร์เป็นประเภทปริมาณงานที่เน้นนักพัฒนาเป็นศูนย์กลาง เนื่องจากนักพัฒนาสามารถควบคุมสถาปัตยกรรมและบริการที่ใช้งานได้โดยตรงมากขึ้นทีมรักษาความปลอดภัยจึงต้องการวิธีแบบอะซิงโครนัสในการกําหนดนโยบายประเมินการปรับใช้กับแนวทางปฏิบัติที่ดีที่สุดและตรวจสอบการเบี่ยงเบนที่หลีกเลี่ยงไม่ได้ที่เกิดขึ้นในทุกสภาพแวดล้อม ด้วยคอนเทนเนอร์และสถาปัตยกรรมไมโครเซอร์วิสจํานวนตัวแปรและความเร็วของการเปลี่ยนแปลงได้เพิ่มขึ้นอย่างมากจากฮาร์ดแวร์ที่มีการควบคุมอย่างเข้มงวดก่อนหน้านี้หรือการปรับใช้ที่ใช้ VM วงจรชีวิตของคอนเทนเนอร์มักจะวัดเป็นวินาที แต่ก็มีความแปรปรวนในระดับสูงที่ทําให้ลักษณะทั่วไปอาจเป็นอันตรายได้ ทีมรักษาความปลอดภัยจําเป็นต้องคํานึงถึงความปลอดภัยและความสมบูรณ์ของคอนเทนเนอร์ที่อาจออนไลน์ได้เพียงไม่กี่วินาที และทีมอื่นๆ ที่อาจออนไลน์เป็นเวลาหลายสัปดาห์อย่างต่อเนื่อง Skyhigh Security เสนอ BornSecure Containers ซึ่งรวมถึง:
- Cloud Security Posture Management เพื่อสแกนสภาพแวดล้อมระบบคลาวด์อย่างต่อเนื่องเพื่อตรวจจับความเสี่ยงจากการดริฟท์ที่รวมเข้ากับไปป์ไลน์ DevOps (Shift Left) เพื่อให้แน่ใจว่าความเสี่ยงได้รับการแก้ไขก่อนที่จะปรับใช้
- การประเมินช่องโหว่ของส่วนประกอบภายในคอนเทนเนอร์เองเพื่อให้แน่ใจว่าองค์กรจะไม่ปรับใช้โค้ดที่มีช่องโหว่ที่รู้จักซึ่งรวมอยู่ในไปป์ไลน์ DevOps (Shift Left) Skyhigh Security นอกจากนี้ยังรวมถึงการสแกนสิ่งประดิษฐ์คอนเทนเนอร์ซ้ําเป็นระยะเพื่อตรวจจับเมื่อช่องโหว่ใหม่ส่งผลกระทบต่อคอนเทนเนอร์ที่สร้างไว้แล้วและอาจกําลังทํางานในการผลิต
กระบวนการ DevOps แบบดั้งเดิม: ตามเนื้อผ้า ความปลอดภัยจะไม่ถูกนํามาพิจารณาหรือตรวจสอบจนกว่าจะมีการปรับใช้แอปพลิเคชันกับสภาพแวดล้อมการใช้งานจริง
ปัจจุบัน แอปพลิเคชันแบบ Cloud-Native ต้องการ BornSecure Containers: ความปลอดภัยถูกฝังอยู่ในไปป์ไลน์ DevOps เพื่อให้นักพัฒนาได้รับข้อเสนอแนะด้านความปลอดภัยเมื่อมีการสร้างแอปพลิเคชันหรือเมื่อมีการเช็คอินโค้ด
Container Security 101 – อภิธานศัพท์
| KS Enterprise Container Platform S/W Suite สําหรับ Azure ที่ใช้ k8s | นักเทียบท่า บริษัทและชื่อของเครื่องมือที่พวกเขาออกแบบมาเพื่อให้สร้าง ปรับใช้ และเรียกใช้แอปพลิเคชันโดยใช้คอนเทนเนอร์ได้ง่ายขึ้น | การแบ่งส่วนนาโน ยืดหยุ่นและละเอียด = การแบ่งส่วนซึ่งขึ้นอยู่กับพฤติกรรมที่สังเกตได้ |
| ความผิดปกติ สิ่งที่เบี่ยงเบนไปจากสิ่งที่เป็นมาตรฐาน ปกติ หรือคาดหวัง | ลอย การสะสมของการเปลี่ยนแปลงการกําหนดค่าหรือการดําเนินการด้านการดูแลระบบเมื่อเวลาผ่านไปซึ่งอาจทําให้เกิดความเสี่ยงและการเบี่ยงเบนจากการกําหนดค่าที่ดีที่รู้จัก | พื้นผิวการโจมตีเครือข่าย พื้นผิวการโจมตีประกอบด้วยจํานวนทั้งสิ้นของสภาพแวดล้อมที่ผู้โจมตีสามารถพยายามใช้ประโยชน์เพื่อทําการโจมตีที่ประสบความสําเร็จรวมถึงโปรโตคอลอินเทอร์เฟซซอฟต์แวร์และบริการที่ปรับใช้ทั้งหมด |
| สร้าง การสร้างสิ่งที่มีผลที่สังเกตได้และเป็นรูปธรรม Build เป็นกระบวนการแปลงไฟล์ซอร์สโค้ดเป็นสิ่งประดิษฐ์ซอฟต์แวร์แบบสแตนด์อโลนที่สามารถเรียกใช้บนคอมพิวเตอร์ได้ | อีเคเอส Enterprise Container Platform S/W Suite สําหรับ Amazon ที่ใช้ k8s | ท่อ ชุดของกระบวนการอัตโนมัติที่ช่วยให้นักพัฒนาและผู้เชี่ยวชาญด้าน DevOps สามารถคอมไพล์ สร้าง และปรับใช้โค้ดของตนกับแพลตฟอร์มการประมวลผลการผลิตได้อย่างน่าเชื่อถือและมีประสิทธิภาพ |
| CICD ผสมผสานแนวทางปฏิบัติในการบูรณาการอย่างต่อเนื่องและการส่งมอบอย่างต่อเนื่อง | อีซีเอส Enterprise Container Platform S/W Suite สําหรับ Amazon โดยใช้การประสานที่เป็นกรรมสิทธิ์ซึ่งมีมาก่อนการนํา k8 มาใช้ในวงกว้าง | สิทธิ์ แนวคิดของการอนุญาตให้ผู้ใช้ทํากิจกรรมบางอย่างเท่านั้น ตัวอย่างเช่นผู้ใช้ทั่วไปมักจะถูกป้องกันไม่ให้เปลี่ยนไฟล์ระบบปฏิบัติการในขณะที่ผู้ดูแลระบบมักจะได้รับอนุญาตให้ทําเช่นนั้น |
| เกณฑ์มาตรฐาน CIS แนวทางปฏิบัติที่ดีที่สุดสําหรับการกําหนดค่าที่ปลอดภัยของระบบเป้าหมาย รวมถึงคอนเทนเนอร์และ Kubernetes เกณฑ์มาตรฐานได้รับการพัฒนาโดยองค์กรไม่แสวงหาผลกําไรที่เรียกว่า Center for Internet Security (CIS) ผ่านฉันทามติของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ | ชั่วคราว คุณสมบัติที่ใช้ในการกําหนดคอนเทนเนอร์ เนื่องจากภาชนะมีอายุสั้น โดยมีอายุการใช้งานเฉลี่ยเป็นชั่วโมง จึงกล่าวกันว่าภาชนะเหล่านี้ไม่จีรัง | พื้นที่เก็บข้อมูล (repo) ที่เก็บอิมเมจคอนเทนเนอร์คือคอลเลกชันของอิมเมจคอนเทนเนอร์ที่เกี่ยวข้อง ซึ่งโดยปกติจะมีเวอร์ชันที่แตกต่างกันของแอปพลิเคชันหรือบริการเดียวกัน |
| ภาชนะ หน่วยมาตรฐานของซอฟต์แวร์ที่บรรจุโค้ดและการพึ่งพาทั้งหมดดังนั้นแอปพลิเคชันจึงทํางานได้อย่างรวดเร็วและเชื่อถือได้จากสภาพแวดล้อมการประมวลผลหนึ่งไปยังอีกสภาพแวดล้อมหนึ่ง อิมเมจคอนเทนเนอร์เป็นแพ็คเกจซอฟต์แวร์ที่มีน้ําหนักเบา สแตนด์อโลน และปฏิบัติการได้ ซึ่งรวมถึงทุกสิ่งที่จําเป็นในการเรียกใช้แอปพลิเคชัน: โค้ด รันไทม์ เครื่องมือระบบ ไลบรารีระบบ และการตั้งค่า | ลายนิ้วมือ ความสามารถในการติดตามสิ่งประดิษฐ์ตลอดจนพฤติกรรมของสิ่งประดิษฐ์ ให้ผู้ใช้เห็นว่าอะไรเข้าสู่งานสร้าง และใช้บิลด์นั้นอย่างไรและที่ไหน
นิติเวช การวิเคราะห์ชันสูตรพลิกศพเพื่อทําความเข้าใจและยับยั้งผลกระทบของการละเมิดความปลอดภัย |
เลื่อนไปทางซ้าย การรวมการกําหนดค่าความปลอดภัยและการตรวจสอบช่องโหว่เข้ากับไปป์ไลน์ DevOps มีการรักษาความปลอดภัยเมื่อมีการตรวจสอบหรือสร้างรหัสแทนที่จะรอให้ระบบใช้งานได้ สิ่งนี้นํามาซึ่งความปลอดภัยที่เหลืออยู่ (ก่อน) สภาพแวดล้อมการผลิตซึ่งการรักษาความปลอดภัยจะทําแบบดั้งเดิม |
| รีจิสทรีคอนเทนเนอร์ ที่เก็บสําหรับจัดเก็บอิมเมจคอนเทนเนอร์ อิมเมจคอนเทนเนอร์ประกอบด้วยไฟล์จํานวนมาก ซึ่งห่อหุ้มแอปพลิเคชัน นักพัฒนา ผู้ทดสอบ และระบบ CI/CD จําเป็นต้องใช้รีจิสทรีเพื่อจัดเก็บอิมเมจที่สร้างขึ้นระหว่างกระบวนการพัฒนาแอปพลิเคชัน อิมเมจคอนเทนเนอร์ที่อยู่ในรีจิสทรีสามารถใช้ในขั้นตอนต่าง ๆ ของการพัฒนา | จีเคอี Enterprise Container Platform S/W Suite สําหรับ Google ที่ใช้ k8s
ไม่เปลี่ยนรูป คุณสมบัติที่ใช้ในการกําหนดคอนเทนเนอร์ คอนเทนเนอร์แต่ละรายการจะไม่เปลี่ยนแปลงตลอดวงจรชีวิตเมื่อสร้างแล้ว |
เครื่องเสมือน (VM) สภาพแวดล้อมเสมือนที่ทําหน้าที่เป็นระบบคอมพิวเตอร์เสมือนที่มี CPU, หน่วยความจํา, อินเทอร์เฟซเครือข่ายและที่เก็บข้อมูลของตัวเองสร้างขึ้นบนระบบฮาร์ดแวร์ทางกายภาพ ซอฟต์แวร์ที่เรียกว่าไฮเปอร์ไวเซอร์จะแยกทรัพยากรของเครื่องออกจากฮาร์ดแวร์และแจกจ่ายอย่างเหมาะสมเพื่อให้ VM สามารถใช้งานได้ |
| รันไทม์คอนเทนเนอร์ ซอฟต์แวร์ที่รันคอนเทนเนอร์และจัดการอิมเมจคอนเทนเนอร์บนโหนด เช่น Docker Engine | K8S Kubernetes บางครั้งเรียกว่า k8s (K – แปดอักขระ – S) | ภาระงาน ความสามารถที่ไม่ต่อเนื่องหรือปริมาณงานที่คุณต้องการเรียกใช้บนอินสแตนซ์ระบบคลาวด์ |
| เดฟออปส์ ชุดของแนวทางปฏิบัติที่รวมการพัฒนาซอฟต์แวร์ (Dev) และการดําเนินงานด้านเทคโนโลยีสารสนเทศ (Ops) ซึ่งมีจุดมุ่งหมายเพื่อลดวงจรชีวิตการพัฒนาระบบและให้การส่งมอบอย่างต่อเนื่องด้วยคุณภาพซอฟต์แวร์ระดับสูง | Kubernetes (k8s) ระบบประสานคอนเทนเนอร์แบบโอเพนซอร์ส มีแพลตฟอร์มสําหรับการปรับใช้ การปรับขนาด และการทํางานของคอนเทนเนอร์แอปพลิเคชันโดยอัตโนมัติทั่วทั้งคลัสเตอร์ของโฮสต์ | ศูนย์-Trust ไม่เคยไว้ใจ แต่ยืนยัน การรักษาความปลอดภัยแบบ Zero Trust หมายความว่าไม่มีใครได้รับความไว้วางใจตามค่าเริ่มต้นจากภายในหรือภายนอกเครือข่าย และจําเป็นต้องมีการตรวจสอบจากทุกคนที่พยายามเข้าถึงทรัพยากรบนเครือข่าย |
| เดฟเซคออปส์ DevSecOps คือแนวทางปฏิบัติในการรวมแนวทางปฏิบัติด้านความปลอดภัยภายในกระบวนการ DevOps | การแบ่งส่วนย่อย ซอฟต์แวร์ไมโครเซ็กเมนต์ใช้เทคโนโลยีการจําลองเสมือนเครือข่ายเพื่อสร้างโซนความปลอดภัยที่มีรายละเอียดสูงในศูนย์ข้อมูลและการปรับใช้ระบบคลาวด์ ซึ่งจะแยกปริมาณงานแต่ละรายการและรักษาความปลอดภัยแยกกัน |