写点什么

美国国家标准技术局发布应用容器安全指南

  • 2017-12-07
  • 本文字数:1110 字

    阅读完需:约 4 分钟

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。

NIST 的计算机安全研究中心(CSRC)负责监管 NIST 的数字和信息相关的项目和出版物。该公告对之前的两份有关应用容器安全出版物进行了总结,它先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。

容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题。安全工具和流程并不能保证容器所运行环境绝对安全,因为特定的环境可能包含很多安全漏洞。

容器使用了不可变模型,每当一个新版本的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更(比如一个操作系统镜像),应用开发者就必须为相应的应用生成新的镜像。将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队应该在这方面拥有更多的经验,所以说这也是一个潜在的问题。

NIST 发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。

容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置(在高级别权限模式下运行)也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞。每一个主机操作系统都有一个“攻击面”,攻击者通过这个攻击面对操作系统发起攻击。主机一旦受到攻击,主机上的容器也难逃厄运。共享内核的容器会加大攻击面。

应对措施需要从最底层开始——也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。之前关于容器安全的研究也提到了类似的内容。

查看英文原文 NIST Publishes Guidelines on Application Container Security

2017-12-07 18:001656
用户头像

发布了 322 篇内容, 共 146.9 次阅读, 收获喜欢 148 次。

关注

评论

发布
暂无评论
发现更多内容

【干货】Servlet内存马加载流程分析

网络安全学海

黑客 网络安全 信息安全 渗透测试 安全漏洞

如何通过服务提升产品价值?

石云升

产品思维 体验设计 产品分析 2月月更 服务产品化

迭代器总结

编程三昧

JavaScript 前端 迭代器 2月月更

01-《生活中的心理学》读书笔记

清凌渡

读书笔记 心理学

一文入门rollup!13组demo带你轻松驾驭

摸鱼的春哥

前端 vite Rollup webpack 构建

Java线程池进阶

木小风

Java 线程池

模块八

撿破爛ぃ

架构训练营

hive性能调优实战-读书笔记

聚变

hive Hive SQL

Vue3 过10种组件通讯方式

德育处主任

Vue 3 vuex 组件通信 Pinia mitt.js

跨平台应用开发进阶(五) :uni-app 实现列表项左划操作

No Silver Bullet

uni-app 2月月更 左划删除

模块八

Only

架构师实战营 「架构实战营」

基于STM32+ESP8266+华为云IoT设计的健康管理系统

DS小龙哥

2月月更

设计千万级学生管理系统的考试试卷存储方案

王大胖

Go 语言入门很简单:Go 反射

宇宙之一粟

一次TDD(Test Driven Development)尝试感受

Bruce Talk

技术 敏捷 TDD Agile

2022年第8周-面试二三事

李印

面试 周报

模块八-设计消息队列存储消息数据 作业

novoer

「架构实战营」

书单

林逸民

学习 读书

攻克MySQL-索引基础

javaadu

MySQL 面试题 索引

人大代表谈“元宇宙”:把握机遇,加速布局

CECBC

能源产业数字化转型:区块链如何“炼”?

CECBC

互联网产品管理课-笔记(16/100)

hackstoic

产品

作业8

施正威

人人皆可虚拟,直播还能这么玩?声网推出 MetaLive 元直播解决方案

声网

人工智能 音视频

【Python】这个列表TTT熟悉

謓泽

Python 2月月更

从俄乌战争看区块链技术在未来国防领域的应用

CECBC

一个简单的方法排列任务优先级

Bruce Talk

【Python】面试官:元组列表都分不清,回去等通知pa

謓泽

Python 元组 2月月更

mxGraph教程-开发入门指南

No Silver Bullet

流程图 2月月更 mxGraph

攻克MySQL—索引优化

javaadu

MySQL 面试题 索引

简谈什么是 Web 3.0

devpoint

元宇宙 Web3.0 2月月更

美国国家标准技术局发布应用容器安全指南_DevOps & 平台工程_Hrishikesh Barua_InfoQ精选文章