Усвідомлення ризиків, класичні принципи кібербезпеки та спеціальні захисні заходи підвищують безпеку даних і процесів. ІТ-менеджери використовують власний контейнерний захист або захист, наданий постачальниками хмарних послуг, щоб налаштовувати додатки та керувати процесами гнучким і гнучким способом.
Але контейнери, зрештою, є виконуваними програмами і можуть становити ризик. Хост-сервери та реєстри контейнерів розширюють поверхню атаки. Класичні принципи ІТ-безпеки та підвищена чутливість до загроз допомагають закрити нові прогалини.
Контейнери в хмарі або локально
Контейнери — приватні чи надані хмарним провайдером — пропонують хакерам чотири сфери атаки:
• реєстр, з якого користувач отримує зображення для контейнера;
• час роботи контейнера;
• хост-контейнер; так добре як
• рівень оркестровки контейнера.
Зловмисники потрапляють у ці чотири точки безпеки різними способами. Зрештою, вони можуть почати необхідні бічні рухи з будь-якої кінцевої точки цільової мережі. Після цього зловмисники можуть скомпрометувати реєстр, хост-контейнер зі своїми зображеннями або кластери з кількома надлишковими зображеннями або зловживати законними образами для своїх цілей. Перш за все, вони хочуть використовувати ресурси для власних цілей - наприклад, для криптомайнінгу - або диверсійних послуг.
Тому менеджери з ІТ-безпеки повинні стежити за такими напрямками захисту ІТ:
Театр оборони 1: перевірте зображення
Незалежно від того, чи отримують користувачі свої зображення контейнерів із загальнодоступної хмари чи з приватного реєстру, їм слід бути обережними. Зловмисники можуть атакувати реєстр і використовувати його, щоб пропонувати для завантаження оброблені зловмисними способами та, очевидно, законні зображення.
Спосіб усунення: ІТ-менеджери мають належний захист, лише якщо вони використовують перевірені та оновлені зображення з надійного джерела. Крім того, IT-менеджери повинні користуватися лише тими сервісами, які їм дійсно потрібні. Завантаживши зображення, постійно оновлюйте його та перевіряйте, чи не повідомляється про будь-які загрози безпеці.
Театр оборони 2: стежити за часом роботи контейнера
Доступ до середовища виконання контейнера дає зловмисникам різноманітні та потенційно далекосяжні можливості. Наприклад, вони отримують доступ до вразливості та переносять її в компанію, виконують шкідливі команди або використовують легітимний образ – наприклад, з операційною системою Ubuntu – як бекдор-контейнер. Вони також можуть отримати доступ до хоста через контейнер.
Спосіб усунення: Надійний захист середовища виконання контейнера відстежує процеси в контейнері та на пов’язаному хості. Регулярне оновлення зображень забезпечує постійну безпеку.
Театр оборони 3: захист контейнерного хоста
Якщо кіберзлочинці отримують доступ до хост-середовища контейнера, усі керовані звідти процеси знаходяться в межах їх досяжності. Крім того, уразливості на серверах контейнерів або середовищах виконання контейнерів дають зловмисникам можливість запускати власні контейнери.
Спосіб усунення: Дистрибутиви Linux, спеціально розроблені для запуску контейнерів, забезпечують більший рівень безпеки. Кожен хост-сервер також потребує власних засобів захисту, щоб захистити себе. Після налаштування хости необхідно постійно відстежувати на наявність нових вразливостей. Ризики на рівні операційної системи вже значною мірою усунені, якщо взяти до уваги загальні вказівки щодо їх безпечної конфігурації.
Театр оборони 4: ризики оркестровки контейнерів
Рішення безпеки виявляють бічне переміщення зловмисників на хості Docker (Зображення: Bitdefender).
Зловмисники також націлені на адміністрування контейнерних кластерів. В принципі, цей рівень забезпечує несанкціонований прямий доступ до цільових ресурсів. Наприклад, якщо хакери використовують облікові дані для кластера Kubernetes у публічній хмарі, вони можуть маніпулювати всім кластером постачальників послуг. Для менших постачальників це реальний ризик. Відкрита інформаційна панель оркестровки є бекдором для віддаленого керування кластерами без авторизації.
Спосіб усунення: Щоб запобігти несанкціонованому доступу, рекомендується контролювати доступ на основі ролей і економне призначення прав користувачам. Хостери або постачальники IaaS не повинні мати можливість змінювати будь-що в існуючих контейнерах без схвалення клієнта. Крім того, захищений зв’язок між модулями в кластері Kubernetes, який спільно використовують різні програми, підвищує безпеку.
Ключовим є усвідомлення ризиків
«Безпека контейнерів починається з усвідомлення ризиків. Якщо у вас є, ви можете підвищити безпеку контейнерів за допомогою відповідних рішень і використовувати їхні переваги з кращим відчуттям», — говорить Крістіан Аврам, старший архітектор рішень у Bitdefender. «Зрештою, мова йде про застосування класичних правил безпеки до контейнерів і пов’язаної з ними ІТ-інфраструктури: контроль уразливостей, виправлення, автоматизована безпека та навчання всіх залучених інструкцій. Нульова довіра рекомендована як механізм безпеки для технології, яку можна сумлінно та постійно контролювати завдяки її великому потенціалу».
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de