什麼是容器安全性？

雖然容器安全性講求全盤規劃，當中的矚目焦點，莫過於容器本身。美國國家標準暨技術研究院 (NIST) 發表了一份應用程式容器安全性指南 (Application Container Security Guide)，當中摘要說明了幾項可確保容器安全性的基本方法。下方為這份 NIST 報告的三大主要考量：

1. 使用容器專用的主機作業系統。NIST 建議使用容器專用的作業系統 (隨附的功能較少)，藉此縮小攻擊範圍。
2. 依照目的和風險設定檔來區隔容器。雖然容器平台通常可將容器妥善隔離開來 (彼此相互隔離，以及與底層作業系統隔離)，根據 NIST 觀察，如果能依照「目的、敏感性和威脅態勢」將容器予以分組，並在個別的主機作業系統上執行容器，將可實現更出色的「深度防禦」。上述做法旨在依循「縮小事件或攻擊的爆炸半徑」的一般 IT 安全性原則，這表示，漏洞衍生的後果將盡可能受到限縮。
3. 使用容器專用的弱點管理和執行階段安全性工具。傳統弱點掃描和管理工具運用在容器上，經常會發生盲點，進而產生不正確的報告，誤判容器映像和組態設定等項目毫無問題。同樣地，確保執行階段安全性，也是容器部署和作業方面的一大關鍵。傳統的周邊導向工具 (例如入侵防禦系統)，經常沒有將容器納入建置考量中，因而無法為其提供適當保護。
   

NIST 也建議使用 Trusted Platform Module (TPM) 等硬體式信任根，藉此為安全性提供另一層保障，並建立適用於容器和雲原生開發作業的文化和流程，例如開發營運或 DevSecOps 開發安全性營運。

容器安全性包含幾個重要的層面：

• 設定：許多容器、協調作業和雲端平台都提供穩健的安全功能和控制項。然而，這些項目需要正確地設定，並不斷進行微調，且鮮少在「啟用當下」便已完成最佳化。此一設定作業會涵蓋多項重大設定，以及強化存取 / 權限、隔離和網路等領域。
• 自動化：鑑於多數容器化應用程式及其底層基礎架構具有高度分散的特性，手動進行弱點掃描和異常偵測等安全需求，儼然就是一項不可能的任務。正因如此，如同容器協調作業有助於將許多涉及大規模執行容器的額外作業負荷自動化一樣，自動化也成為許多容器安全功能及工具的必備關鍵。
• 容器安全性解決方案：有些團隊會在專為容器化環境打造的解決方案組合中，加入新的安全性工具和支援。有時，這類型的工具會著重雲原生商業網路的不同層面，例如持續整合工具、容器執行階段安全性，以及 Kubernetes。

保護容器和環境時，往往容易犯下幾項常見錯誤，包括：

• 忘了基本的安全性防衛機制：容器是一項相對新穎的技術，且需採用某些較新的安全性方法。然而，這並不表示您應該背棄特定安全性基本概念；舉例來說，無論作業系統、容器執行階段或其他工具，都應將持續修補和更新系統視為重要策略。
• 未能設定和強化您的工具及環境：如同許多雲端平台一樣，凡是優質的容器和協調作業工具，都會隨附重要的安全功能。不過，您必須針對自身的特殊環境設定這些功能 (而非使用預設設定加以執行)，才能發揮其所帶來的優勢。而相關設定作業，則包括僅對容器授予實際執行所必備的功能或權限，以大幅降低權限提升攻擊等風險。
• 忽略監控、日誌記錄和測試：團隊開始在生產環境中執行容器後，若未謹慎採取相關措施，即有可能失去應用程式運作狀況和環境的能見度。這不僅是部分團隊容易忽略的重大風險，更和高度分散式系統息息相關，畢竟，這些系統可能會跨越多個雲端環境和地端基礎架構執行。確認您已採取適當的監控、日誌記錄和測試措施，為盡可能降低未知弱點和其他盲點的重要關鍵。
• 未能保護持續整合 / 持續交付管道的所有階段：隱藏在您容器安全性策略中的另一項潛在缺失，就是忽略軟體交付管道中的其他項目。優秀的團隊會運用「左移」哲學來加以防範，也就是在軟體供應鏈中及早規劃安全性，然後過一致的方式套用工具和原則。