什么是容器安全机制？

虽然最好将容器安全机制视为一个整体领域，但它显然侧重于容器本身。美国国家标准与技术协会发布了《应用容器安全指南》(Application Container Security Guide)，其中总结了几种用于保护容器的基本方法。以下是 NIST 报告中的三点关键注意事项：

1. 使用特定于容器的主机操作系统。NIST 建议使用特定于容器的主机操作系统，这些操作系统的功能特性有所减少，目的是减少受攻击面。
2. 按用途和风险状况对容器进行细分。尽管容器平台通常可以很好地隔离容器（将各容器之间以及与底层操作系统隔离开），但 NIST 指出，您可以通过按“用途、敏感度和威胁状况”对容器进行分组并在不同的主机操作系统上运行它们，来实现更深的“防御深度”。这应遵循限制突发事件或攻击的影响范围的一般 IT 安全原则，意味着泄露造成的后果将被限制在尽可能小的范围内。
3. 使用特定于容器的漏洞管理和运行时安全工具。传统的漏洞扫描和管理工具在容器方面通常存在盲点，这可能会导致不准确地报告称容器镜像、配置设置等方面的情况安好。同样，确保运行时的安全性是容器部署和运维的一个关键方面。以边界为导向的传统工具（如入侵防御系统）在构建时通常没有考虑到容器，因此无法正确保护容器。
   

NIST 还建议使用基于硬件的信任根（如可信平台模块 (TPM)）来提升对安全性的信心，并构建适用于容器和云原生开发的文化和流程（如 DevOps 或 DevSecOps）。

容器安全机制具有以下几个重要支柱：

• 配置：许多容器、编排和云平台都提供了强大的安全功能和控制力。但是，需要正确设置它们，然后随着时间的推移重新对它们进行调整，它们很少是“开箱”即优化好的。此配置包括访问/权限、隔离和网络连接等方面的关键设置和强化。
• 自动化：由于大多数容器化应用及其底层基础架构具有高度的动态性和分布式特性，如果手动执行漏洞扫描和异常检测等安全需求方面的任务，可能几乎无法完成。这就是为什么自动化是许多容器安全功能和工具的关键特性，类似于容器编排有助于自动解决大规模运行容器所涉及的大量运维开销。
• 容器安全解决方案：一些团队将在其组合中添加专为容器化环境构建的新安全工具和支持。此类工具有时侧重于云原生生态系统的不同方面，例如 CI 工具、容器运行时安全性和 Kubernetes。

在保护容器和环境方面，有几个常见错误，具体包括：

• 忘记基本的安全健康。容器是一种相对较新的技术，要求采用一些较新的安全方法。但这并不意味着放弃某些安全基础。例如，保持及时修补和更新系统（无论是操作系统、容器运行时还是其他工具）仍然是一项重要的策略。
• 无法配置和强化您的工具和环境。良好的容器和编排工具（就像许多云平台一样）具有重要的安全功能。但是，若要发挥它们的优势，您必须针对您的特定环境配置它们，而不是基于默认设置运行它们。例如，仅授予容器它若要运行而实际所需的功能或权限，以便最大限度地降低权限提升攻击等风险。
• 忽略进行监控、日志记录和测试。当团队开始在生产环境中运行容器时，如果不小心，他们可能会丧失对应用运行状况和环境的可见性。这是一些团队无法认识到的巨大风险，和可能同本地部署基础架构一起跨多个云环境运行的高度分布式系统尤其相关。确保进行适当的监控、日志记录和测试是最大限度地减少未知漏洞和其他盲点的关键。
• 未保护 CI/CD 流水线的所有阶段。容器安全策略中的另一个潜在缺点是忽略软件交付流水线的其他要素。优秀的团队可通过“左移”理念来避免这种情况，这意味着您会在软件供应链中尽早优先考虑安全性，然后在整个过程中始终如一地应用各种工具和策略。