Cos'è la sicurezza dei container?
La sicurezza dei container è la procedura dell'utilizzo di strumenti e policy di sicurezza per proteggere tutti gli aspetti delle applicazioni containerizzate da potenziali rischi. Gestisce i rischi dell'intero ambiente, inclusi tutti gli aspetti della supply chain del software o della pipeline CI/CD, dell'infrastruttura e del runtime dei container e delle applicazioni di gestione del ciclo di vita in esecuzione sui container. Quando si implementano soluzioni per la sicurezza della rete dei container, assicurati che queste siano integrate con l'orchestrazione dei container sottostante per avere consapevolezza del contesto dell'applicazione.

Innovazioni per migliorare la protezione delle applicazioni moderne
Perché la sicurezza dei container è importante?
Sebbene i container offrano alcuni vantaggi intrinseci in termini di sicurezza, tra cui un maggiore isolamento delle applicazioni, ampliano anche il panorama delle minacce di un'organizzazione. L'incapacità di riconoscere e pianificare misure di sicurezza specifiche relative ai container può aumentare i rischi per la sicurezza delle organizzazioni.
Il significativo aumento dell'adozione dei container negli ambienti di produzione rende i container un obiettivo privilegiato per i criminali informatici. Inoltre, un singolo container vulnerabile o compromesso può potenzialmente diventare un punto di accesso all'ambiente più ampio di un'organizzazione. Insieme all'aumento del traffico est-ovest che attraversa il data center e il cloud, sono pochi i controlli di sicurezza che monitorano questa origine predominante del traffico di rete. Questo non fa altro che sottolineare l'importanza della sicurezza dei container, in quanto le soluzioni di sicurezza di rete tradizionali non offrono alcuna protezione contro gli attacchi laterali.
Quali sono i vantaggi della sicurezza dei container?
La sicurezza dei container ha acquisito sempre più rilevanza con l'aumento dell'utilizzo generale dei container. Questo di per sé è utile, perché significa che diverse parti interessate stanno riconoscendo l'importanza della sicurezza dei container e stanno investendo per garantirla sulle loro piattaforme, nei loro processi e nella loro offerta formativa. Poiché la sicurezza dei container riguarda tutti gli aspetti della protezione di un'app containerizzata e della sua infrastruttura, questo produce un vantaggio di ampio respiro: può diventare un catalizzatore e un moltiplicatore di forza per migliorare la sicurezza IT in generale. Richiedendo il monitoraggio continuo della sicurezza degli ambienti di sviluppo, test e produzione, noto anche come DevSecOps, puoi migliorare la sicurezza generale, ad esempio introducendo anticipatamente la scansione automatizzata nella pipeline CI/CD.
Come si protegge un container?
Nonostante la sicurezza dei container sia considerata un ambito olistico, ovviamente si concentra sul container stesso. Il NIST (National Institute of Standards and Technology) ha pubblicato una guida alla sicurezza dei container delle applicazioni che riassume diversi approcci fondamentali per raggiungere questo obiettivo. Ecco tre considerazioni chiave tratte dal report del NIST:
- Utilizzo di sistemi operativi host specifici per i container. Il NIST consiglia di utilizzare sistemi operativi host specifici per i container, che sono creati con un numero inferiore di funzionalità, per ridurre le superfici di attacco.
- Segmentazione dei container in base allo scopo e al profilo di rischio. Sebbene le piattaforme di container generalmente riescano a isolare i container (tra di loro e dal sistema operativo sottostante), il NIST osserva che è possibile ottenere una maggiore "profondità di difesa" raggruppando i container in base "allo scopo, alla sensibilità e allo stato delle minacce" ed eseguirli su sistemi operativi host separati. Questo approccio segue un principio di sicurezza IT generale per limitare il raggio d'azione di un incidente o di un attacco, in modo da confinare le conseguenze di una violazione a un'area quanto più ristretta possibile.
- Utilizzo di strumenti di gestione delle vulnerabilità e di sicurezza in fase di runtime specifici per i container. Gli strumenti tradizionali di scansione e gestione delle vulnerabilità spesso hanno punti ciechi quando si tratta di container e questo può portare alla creazione di report imprecisi che non rilevano eventuali problemi con le immagini dei container, le impostazioni di configurazione ed elementi simili. Allo stesso modo, garantire la sicurezza in fase di runtime è un aspetto fondamentale dei deployment e delle operation dei container. Gli strumenti tradizionali orientati al perimetro, come i sistemi di prevenzione delle intrusioni, spesso non vengono creati pensando ai container e quindi non sono in grado di proteggerli adeguatamente.
Il NIST consiglia inoltre di utilizzare una radice di attendibilità basata su hardware, come Trusted Platform Module (TPM), per avere un altro layer di affidabilità della sicurezza, oltre che per creare cultura e processi (come DevOps o DevSecOps) adatti per container e sviluppo nativo per il cloud.
Quali sono i vantaggi dell'automazione della sicurezza dei container?
Esistono diversi pilastri importanti della sicurezza dei container:
- Configurazione: molte piattaforme di container, orchestrazione e cloud offrono controlli e funzionalità di sicurezza affidabili. Tuttavia, queste devono essere configurate correttamente e poi rimesse a punto nel tempo: raramente sono ottimizzate per essere "pronte all'uso". Questa configurazione include impostazioni critiche e protezione avanzata in aree quali accesso/privilegio, isolamento e networking.
- Automazione: data la natura altamente dinamica e distribuita della maggior parte delle applicazioni containerizzate e dell'infrastruttura a loro sottostante, esigenze di sicurezza quali scansione delle vulnerabilità e rilevamento delle anomalie possono diventare un'attività virtualmente insormontabile se eseguita manualmente. Questo è il motivo per cui l'automazione è un elemento chiave di molti strumenti e funzionalità di sicurezza dei container, un po' come l'orchestrazione dei container aiuta ad automatizzare gran parte delle spese generali operative associate all'esecuzione dei container secondo necessità.
- Soluzioni per la sicurezza dei container: alcuni team aggiungeranno nuovi strumenti di sicurezza e assistenza creati appositamente per gli ambienti containerizzati. Tali strumenti sono a volte incentrati su diversi aspetti dell'ecosistema nativo per il cloud, come gli strumenti CI, la sicurezza del runtime dei container e Kubernetes.
Quali sono gli errori comuni da evitare in merito alla sicurezza dei container?
Quando si tratta di proteggere container e ambienti, sono diversi gli errori comuni che è possibile commettere tra cui:
- Dimenticare lo stato di base della sicurezza. I container sono una tecnologia relativamente nuova che richiede alcuni approcci di sicurezza più moderni. Tuttavia, questo non significa abbandonare alcuni concetti fondamentali della sicurezza. Ad esempio, fare in modo che i sistemi siano aggiornati con le patch più recenti, che si tratti di sistemi operativi, runtime dei container o altri strumenti, rimane una strategia importante.
- Non configurare e rafforzare strumenti e ambienti. I buoni strumenti di orchestrazione e per i container, proprio come molte piattaforme cloud, sono dotati di funzionalità di sicurezza significative. Tuttavia, per sfruttarne i vantaggi, è necessario configurarli per ambienti specifici, anziché eseguirli utilizzando le impostazioni predefinite. Ad esempio, puoi concedere a un container solo le funzionalità o i privilegi necessari per l'esecuzione, per ridurre al minimo rischi come un attacco all'escalation dei privilegi.
- Non monitorare, registrare e testare. Quando i team iniziano a eseguire i container nell'ambiente di produzione, se non prestano attenzione, potrebbero perdere la visibilità dello stato e degli ambienti delle applicazioni. Questo è un grande rischio che alcuni team non riescono a riconoscere ed è particolarmente rilevante per i sistemi altamente distribuiti che possono essere eseguiti in più ambienti cloud insieme all'infrastruttura on-premise. Per ridurre al minimo le vulnerabilità note e altri punti ciechi, è essenziale garantire un monitoraggio, una registrazione e un testing adeguati.
- Non proteggere tutte le fasi della pipeline CI/CD. Un'altra possibile falla nella strategia di sicurezza dei container consiste nell'ignorare altri elementi della pipeline di distribuzione del software. I team competenti evitano questo problema adottando la filosofia dello "spostamento a sinistra", ovvero dando priorità alla sicurezza il prima possibile nella supply chain del software e quindi applicando in modo coerente strumenti e policy.
Soluzioni e prodotti correlati
VMware Carbon Black Container
Scegli visibilità continua, sicurezza dei container e compliance.
VMware Tanzu
Portfolio di prodotti e servizi per modernizzare le app