Sicurezza del runtime del contenitore

I container sono la pietra miliare dell'infrastruttura cloud-native. Sono un gioco di cambiamento per la scalabilità e la velocità, ma il loro aumento di popolarità ha creato una sfida per la sicurezza dei container per le aziende moderne. Ad esempio, una recente falla di sicurezza in AWS Elastic Container Registry (ECR) avrebbe potuto consentire a un attore minaccioso di iniettare codice maligno nelle immagini dei container di altri utenti.

Di seguito, analizziamo più da vicino cos'è la sicurezza runtime dei container, le cinque minacce alla sicurezza runtime dei container che le aziende devono conoscere e le best practice e gli strumenti chiave per migliorare la postura complessiva della sicurezza dei carichi di lavoro.

Richiedi una Demo Per saperne di più

Che cos'è la sicurezza del runtime del container?

La sicurezza del runtime del container è l'insieme di strumenti e pratiche che proteggono i container dall'istanziazione alla terminazione. Si tratta di un sottoinsieme della sicurezza dei container e della protezione del carico di lavoro che si occupa di proteggere tutto ciò che accade con un container, dall'istanziazione alla chiusura. Ad esempio, la sicurezza dei container runtime si occupa della scansione dei container in esecuzione per individuare le vulnerabilità, ma la scansione del codice sorgente in chiaro. Ciò significa che gli scanner di vulnerabilità sono un esempio di strumenti di sicurezza runtime per container, ma uno scanner SAST no.

Tuttavia, la sicurezza dei container runtime non è un concetto isolato. Al di là dei container stessi, la protezione del codice sorgente, di Kubernetes (K8s) e dell'infrastruttura come codice (IaC) sono aspetti importanti per fornire una difesa in profondità, che consente di impostare gli sforzi di sicurezza del runtime dei container aziendali per il successo.

Le 5 principali minacce alla sicurezza dei runtime dei container che le aziende devono conoscere

Le cinque minacce alla sicurezza dei runtime dei container riportate di seguito possono creare rischi significativi per le aziende che eseguono carichi di lavoro con container.

  1. Distribuzione di container non autorizzata: Deploy Container (T1610) dall'elenco delle tecniche utilizzate dagli avversari aziendali del MITRE ATT&CK è un ottimo esempio di minaccia alla sicurezza dei container. Con questa tecnica gli aggressori distribuiscono un contenitore - ad esempio utilizzando i comandi di creazione e avvio di Docker - che bypassa i controlli di sicurezza e abilita gli exploit.
  2. Configurazioni errate e insicure: Le configurazioni insicure sono uno dei rischi più comuni per la sicurezza dei container. Ad esempio, un contenitore che espone porte di rete non necessarie o codifica in modo rigido le chiavi API sono esempi di configurazioni non sicure.
  3. Immagini di container con malware: Questo rischio è particolarmente diffuso quando le aziende utilizzano registri di container pubblici. Gli attori delle minacce possono incorporare il malware nelle immagini dei container e poi pubblicarle nei registri pubblici per l'utilizzo da parte delle aziende.
  4. Attacchi di escalation dei privilegi: Esiste una varietà di attacchi di escalation dei privilegi che possono portare un aggressore a ottenere l'accesso root a un container o all'host sottostante. Questi attacchi spesso iniziano sfruttando una configurazione insicura o una vulnerabilità esistente.
  5. Vulnerabilità non patchate: le vulnerabilità non patchate, come un bug di controllo degli accessi in un'applicazione, forniscono agli attori delle minacce un percorso più facile per compromettere un container.

Come trovare e rimediare ai rischi di sicurezza runtime dei container

Coerentemente con il concetto di sicurezza shift left, il rilevamento precoce è la chiave per una sicurezza runtime del container efficace. Idealmente, le aziende dovrebbero rilevare le minacce prima ancora che avvenga l'istanziazione del container.

Tuttavia, questo non è sempre pratico. È qui che entrano in gioco la scansione runtime e il rilevamento delle minacce. Una volta rilevata una minaccia, il caso ideale è che venga automaticamente rimediata in modo da limitare in modo intelligente i falsi positivi. Per i casi restanti, i professionisti della sicurezza devono essere allertati rapidamente per intraprendere un'azione correttiva.

5 Migliori pratiche di sicurezza dei contenitori runtime

Le cinque best practice che seguono possono aiutare le aziende a trovare e correggere efficacemente i rischi di sicurezza del runtime del container.

  1. Eseguire solo immagini di container affidabili: Eseguire solo immagini di container affidabili da repository sicuri limita il rischio di istanziare un'immagine insicura.
  2. Implementare una scansione continua delle vulnerabilità: I controlli di sicurezza point-in-time sono utili, ma non sufficienti. Per stare al passo con l'evoluzione delle minacce, le aziende devono eseguire una scansione continua dei carichi di lavoro per rilevare le minacce in tempo reale.
  3. Esegua i container con utenti a basso privilegio: Le aziende dovrebbero evitare di eseguire i container come utente root o con il flag Docker -privileged. In genere, i contenitori non dovrebbero avere bisogno dell'accesso root all'ambiente host, quindi l'utilizzo di root viola il principio del minimo privilegio. Allo stesso modo, il flag -privilegiato aggira importanti controlli di sicurezza.
  4. Non abiliti i file system scrivibili: I contenitori sono solitamente destinati ad essere effimeri. L'abilitazione dei file system scrivibili crea il potenziale per gli aggressori di scrivere ed eseguire codice dannoso.
  5. Centralizza e automatizza la visibilità e l'applicazione dei criteri: Monitorare e proteggere manualmente i container non è scalabile. È anche soggetta a errori umani. Per quanto possibile, le aziende dovrebbero sfruttare strumenti che centralizzano e automatizzano la visibilità della sicurezza e delle politiche dei container.

Un'efficace sicurezza del runtime dei container richiede un approccio olistico

La sicurezza del runtime del container non esiste nel vuoto. Ad esempio, la sicurezza IaC e la sicurezza del runtime del container vanno di pari passo. Per mantenere una solida posizione di sicurezza, le aziende devono implementare soluzioni olistiche che integrino la sicurezza in tutto il ciclo di vita dello sviluppo del software (SDLC). Ciò significa che gli strumenti che consentono la visibilità e la sicurezza a livello aziendale attraverso i cloud e che forniscono sicurezza ovunque le aziende eseguano i container sono essenziali per la protezione moderna dei carichi di lavoro e dei runtime.

Sicurezza del runtime del contenitore con la protezione di CloudGuard Workload

CloudGuard Workload Protection è una soluzione di sicurezza del carico di lavoro cloud-native. Offre visibilità, threat prevention, e consente la Conformità in ambienti multi-cloud. Con CloudGuard, le aziende ottengono una sicurezza completa e automatizzata da una piattaforma centralizzata. I vantaggi di CloudGuard Workload Protection includono:

  • Sicurezza dei container: Le funzioni di sicurezza dei container di CloudGuard includono una visibilità profonda sui cluster K8s, la scansione delle immagini dei container, threat prevention in tempo reale e l'applicazione dei criteri tramite un controller centrale delle ammissioni.
  • Serverless Security: Le app serverless creano una nuova sfida di sicurezza per le aziende. CloudGuard aiuta le aziende a mitigare i rischi di Serverless Security con una difesa comportamentale in grado di rilevare potenziali usi impropri e abusi delle funzioni serverless.
  • sicurezza delle applicazioni: CloudGuard AppSec è alimentato da un motore contextual AI in attesa di brevetto. CloudGuard prima di tutto traccia il comportamento normale e poi crea dei profili per attribuire un punteggio intelligente alle richieste, in modo da ridurre i falsi positivi senza compromettere la postura di sicurezza dell'azienda.

Se è interessato a saperne di più sulla sicurezza dei container, si registri oggi stesso per una demo.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK