जोखिम जागरूकता, क्लासिक साइबर सुरक्षा सिद्धांत और विशिष्ट रक्षात्मक उपाय डेटा और प्रक्रियाओं की सुरक्षा में वृद्धि करते हैं। आईटी प्रबंधक अपने स्वयं के कंटेनर सुरक्षा का उपयोग करते हैं या जो क्लाउड सेवा प्रदाताओं द्वारा प्रदान किए जाते हैं ताकि अनुप्रयोगों को स्थापित किया जा सके और प्रक्रियाओं को एक चुस्त और लचीले तरीके से संचालित किया जा सके।
लेकिन कंटेनर अंततः निष्पादन योग्य अनुप्रयोग हैं और जोखिम पैदा कर सकते हैं। कंटेनर होस्ट सर्वर और रजिस्ट्रियां हमले की सतह का विस्तार करती हैं। आईटी सुरक्षा के क्लासिक सिद्धांत और खतरों के प्रति बढ़ी हुई संवेदनशीलता नए उभरते अंतरालों को बंद करने में मदद करती है।
क्लाउड या ऑन-प्रिमाइसेस में कंटेनर
कंटेनर—चाहे वे निजी तौर पर रखे गए हों या क्लाउड प्रदाता के माध्यम से प्रदान किए गए हों—हैकर्स को हमले के चार क्षेत्रों की पेशकश करते हैं:
• वह रजिस्ट्री जिससे उपयोगकर्ता कंटेनर के लिए छवियां प्राप्त करता है;
• कंटेनर रनटाइम;
• कंटेनर होस्ट; साथ ही
• कंटेनर ऑर्केस्ट्रेशन का स्तर।
हमलावर इन चार सुरक्षा केंद्रों पर कई तरह से पहुंचते हैं। अंतत:, वे लक्ष्य नेटवर्क में किसी भी समापन बिंदु से आवश्यक पार्श्व गति शुरू कर सकते हैं। उसके बाद, हमलावर रजिस्ट्री से समझौता करने में सक्षम होते हैं, कंटेनर अपनी छवियों के साथ होस्ट करते हैं या कई अनावश्यक छवियों वाले क्लस्टर या अपने उद्देश्यों के लिए वैध छवियों का दुरुपयोग करने में सक्षम होते हैं। इन सबसे ऊपर, वे अपने स्वयं के प्रयोजनों के लिए संसाधनों का उपयोग करना चाहते हैं - उदाहरण के लिए क्रिप्टोमाइनिंग - या तोड़फोड़ सेवाओं के लिए।
आईटी सुरक्षा प्रबंधकों को इसलिए आईटी रक्षा के निम्नलिखित क्षेत्रों पर नजर रखनी चाहिए:
रक्षा थियेटर 1: छवियों की जाँच करें
चाहे उपयोगकर्ता अपने कंटेनर चित्र सार्वजनिक क्लाउड से प्राप्त करें या निजी रजिस्ट्री से, उन्हें सावधान रहना चाहिए। हमलावर रजिस्ट्री पर हमला कर सकते हैं और डाउनलोड के लिए दुर्भावनापूर्ण रूप से हेरफेर और स्पष्ट रूप से वैध छवियों की पेशकश करने के लिए इसका उपयोग कर सकते हैं।
उपचार: IT प्रबंधकों के पास केवल तभी पर्याप्त सुरक्षा होती है जब वे किसी सुरक्षित स्रोत से परीक्षित और अद्यतन छवियों का उपयोग करते हैं। इसके अलावा, आईटी प्रबंधकों को केवल उन सेवाओं का उपयोग करना चाहिए जिनकी उन्हें वास्तव में आवश्यकता है। एक बार छवि डाउनलोड करने के बाद, इसे अपडेट रखें और देखें कि क्या किसी सुरक्षा जोखिम की सूचना दी गई है।
रक्षा थियेटर 2: कंटेनर रनटाइम की निगरानी करें
एक कंटेनर के रनटाइम तक पहुंच हमलावरों को विभिन्न प्रकार के और संभावित रूप से दूरगामी अवसर प्रदान करती है। उदाहरण के लिए, वे एक भेद्यता तक पहुँचते हैं और इसे कंपनी के भीतर पोर्ट करते हैं, दुर्भावनापूर्ण कमांड निष्पादित करते हैं या एक वैध छवि का उपयोग करते हैं - उदाहरण के लिए उबंटू ऑपरेटिंग सिस्टम के साथ - पिछले दरवाजे के कंटेनर के रूप में। वे एक कंटेनर के माध्यम से होस्ट तक पहुंच भी प्राप्त कर सकते हैं।
उपचार: कंटेनर रनटाइम की एक मजबूत सुरक्षा एक कंटेनर और संबद्ध होस्ट में प्रक्रियाओं की निगरानी करती है। नियमित छवि अद्यतन निरंतर सुरक्षा सुनिश्चित करते हैं।
रक्षा थियेटर 3: कंटेनर होस्ट की सुरक्षा करना
यदि साइबर अपराधी कंटेनर होस्ट वातावरण तक पहुँच प्राप्त करते हैं, तो वहाँ से नियंत्रित सभी प्रक्रियाएँ उनकी पहुँच के भीतर हैं। इसके अलावा, कंटेनर सर्वर या कंटेनर रनटाइम में कमजोरियां हमलावरों को अपने स्वयं के कंटेनर चलाने का अवसर देती हैं।
उपचार: लिनक्स वितरण जो विशेष रूप से कंटेनर चलाने के लिए विकसित किए गए हैं, अधिक सुरक्षा प्रदान करते हैं। प्रत्येक होस्ट सर्वर को स्वयं की सुरक्षा के लिए अपने स्वयं के सुरक्षा नियंत्रणों की भी आवश्यकता होती है। एक बार सेट हो जाने के बाद, नई कमजोरियों के लिए मेजबानों की लगातार निगरानी की जानी चाहिए। यदि उनके सुरक्षित कॉन्फ़िगरेशन के लिए सामान्य दिशानिर्देशों को ध्यान में रखा जाए तो ऑपरेटिंग सिस्टम स्तर पर जोखिम पहले ही काफी हद तक समाप्त हो जाते हैं।
रक्षा थियेटर 4: कंटेनर ऑर्केस्ट्रेशन के जोखिम
सुरक्षा समाधान डॉकटर होस्ट पर हमलावरों की एकतरफा गतिविधि का पता लगाते हैं (चित्र: बिटडेफ़ेंडर)।
हमलावर कंटेनर क्लस्टर के प्रशासन को भी निशाना बना रहे हैं। सिद्धांत रूप में, यह परत लक्षित संसाधनों तक अनधिकृत सीधी पहुँच प्रदान करती है। उदाहरण के लिए, यदि हैकर सार्वजनिक क्लाउड में कुबेरनेट्स क्लस्टर के लिए क्रेडेंशियल्स का उपयोग करते हैं, तो वे सेवा प्रदाताओं के पूरे क्लस्टर में हेरफेर कर सकते हैं। छोटे प्रदाताओं के लिए, यह एक वास्तविक जोखिम है। एक उजागर ऑर्केस्ट्रेशन डैशबोर्ड प्राधिकरण के बिना क्लस्टर को दूरस्थ रूप से प्रबंधित करने के लिए एक बैकडोर है।
उपचार: अनधिकृत पहुँच को रोकने के लिए, भूमिका-आधारित पहुँच नियंत्रण और उपयोगकर्ताओं को अधिकारों के किफायती असाइनमेंट की सिफारिश की जाती है। होस्टर्स या IaaS प्रदाताओं को ग्राहक की स्वीकृति के बिना मौजूदा कंटेनरों में कुछ भी बदलने में सक्षम नहीं होना चाहिए। इसके अलावा, विभिन्न अनुप्रयोगों द्वारा साझा किए गए कुबेरनेट्स क्लस्टर पर पॉड्स के बीच सुरक्षित संचार सुरक्षा बढ़ाता है।
जोखिम जागरूकता महत्वपूर्ण है
"कंटेनर सुरक्षा जोखिम जागरूकता से शुरू होती है। यदि आपके पास एक है, तो आप उपयुक्त समाधानों के साथ कंटेनरों की सुरक्षा बढ़ा सकते हैं और बेहतर अनुभव के साथ उनके लाभों का उपयोग कर सकते हैं," बिटडेफ़ेंडर के वरिष्ठ समाधान वास्तुकार क्रिस्टियन अवराम कहते हैं। "आखिरकार, यह कंटेनरों और संबंधित आईटी अवसंरचनाओं के लिए क्लासिक सुरक्षा नियमों को लागू करने के बारे में है: भेद्यता नियंत्रण, पैचिंग, स्वचालित सुरक्षा और दिशानिर्देशों में शामिल सभी को प्रशिक्षित करना। ज़ीरो ट्रस्ट को एक ऐसी तकनीक के लिए एक सुरक्षा तंत्र के रूप में अनुशंसित किया जाता है जिसकी महान क्षमता के कारण कर्तव्यनिष्ठा और निरंतर निगरानी की जा सकती है।
Bitdefender.com पर अधिक
बिटडेफेंडर के बारे में बिटडेफ़ेंडर साइबर सुरक्षा समाधान और एंटीवायरस सॉफ़्टवेयर में वैश्विक अग्रणी है, जो 500 से अधिक देशों में 150 मिलियन से अधिक सिस्टम की सुरक्षा करता है। 2001 में इसकी स्थापना के बाद से, कंपनी के नवाचारों ने नियमित रूप से निजी ग्राहकों और कंपनियों के लिए उपकरणों, नेटवर्क और क्लाउड सेवाओं के लिए उत्कृष्ट सुरक्षा उत्पाद और बुद्धिमान सुरक्षा प्रदान की है। पसंद के आपूर्तिकर्ता के रूप में, बिटडेफ़ेंडर तकनीक दुनिया के तैनात सुरक्षा समाधानों के 38 प्रतिशत में पाई जाती है और उद्योग के पेशेवरों, निर्माताओं और उपभोक्ताओं द्वारा समान रूप से विश्वसनीय और मान्यता प्राप्त है। www.bitdefender.de