اعتبارات الأمان لمثيلات Azure Container

تقدم هذه المقالة اعتبارات الأمان لاستخدام مثيلات Azure Container لتشغيل تطبيقات الحاوية. وتشمل المواضيع ما يلي:

• توصيات الأمان لإدارة الصور والأسرار لمثيلات Azure Container
• اعتبارات النظام البيئي للحاويات طوال دورة حياة الحاويات، لأي منصة حاويات

للحصول على توصيات شاملة تساعدك على تحسين وضع الأمان للنشر الخاص بك، راجع أساس أمان Azure لمثيلات Container.

توصيات الأمان لمثيلات Azure Container

استخدام سجل خاص

يتم إنشاء الحاويات من الصور المخزنة في مستودع واحد أو أكثر. يمكن أن تنتمي هذه المستودعات إلى سجل عام، مثل Docker Hub، أو إلى سجل خاص. مثال على التسجيل الخاص هو التسجيل الموثوق به Docker، والذي يمكن تثبيته في الموقع أو في سحابة خاصة ظاهرية. يمكنك أيضًا استخدام خدمات سجل الحاويات الخاصة المستندة إلى مجموعة النظراء، بما في ذلك Azure Container Registry.

لا تضمن صورة الحاوية المتاحة للجمهور الأمان. تتكون صور الحاوية من طبقات برامج متعددة، وقد تكون لكل طبقة برامج نقاط ضعف. للمساعدة في تقليل التهديد بالهجمات، يجب تخزين الصور واستردادها من سجل خاص، مثل Azure Container Registry أو Docker Trusted Registry. بالإضافة إلى توفير سجل خاص مدار، يدعم Azure Container Registry المصادقة المستندة إلى الخدمة الأساسية من خلال معرف Microsoft Entra لتدفقات المصادقة الأساسية. تتضمن هذه المصادقة الوصول المستند إلى الدور للقراءة فقط (سحب) والكتابة (دفع) وأذونات أخرى.

مراقبة صور الحاوية ومسحها ضوئيًّا

استفد من الحلول لمسح صور الحاويات في سجل خاص وتحديد نقاط الضعف المحتملة. من المهم فهم عمق اكتشاف التهديدات التي توفرها الحلول المختلفة.

على سبيل المثال، يتم دمج Azure Container Registry اختيارياً مع Microsoft Defender for Cloud لفحص جميع صور Linux التي تم دفعها إلى السجل تلقائياً. يكتشف برنامج Microsoft Defender for Cloud المدمج في الماسح الضوئي Qualys الثغرات الأمنية في الصور ويصنفها ويوفر إرشادات العلاج.

كما تتوفر حلول مراقبة الأمان ومسح الصور مثل Twistlock وAqua Security من خلال Azure Marketplace.

حماية بيانات الاعتماد

يمكن أن تنتشر الحاويات عبر عدة مجموعات ومناطق Azure. لذلك، يجب تأمين بيانات الاعتماد المطلوبة لتسجيل الدخول أو الوصول إلى واجهة برمجة التطبيقات، مثل كلمات المرور أو الرموز المميزة. تأكد من أن المستخدمين المميزين فقط يمكنهم الوصول إلى تلك الحاويات المتنقلة والثابتة. جرد جميع البيانات السرية لبيانات الاعتماد، ومن ثم تتطلب المطورين لاستخدام الأدوات الناشئة إدارة الأسرار التي تم تصميمها لمنصات الحاويات. تأكد من أن الحل يتضمن قواعد بيانات مشفرة، وتشفير TLS لبيانات الأسرار أثناء النقل، والتحكم في الوصول المستند إلى دور Azure (Azure RBAC) الأقل امتيازًا. Azure Key Vault هي خدمة سحابية تحمي مفاتيح التشفير والأسرار (مثل الشهادات، وسلاسل الاتصال، وكلمات المرور) لتطبيقات الحاوية. نظراً لأن هذه البيانات حساسة وحيوية للأعمال، يمكنك الوصول الآمن إلى خزائن المفاتيح بحيث يمكن للتطبيقات والمستخدمين المعتمدين فقط الوصول إليها.

اعتبارات النظام البيئي للحاويات

يمكن أن تساعدك التدابير الأمنية التالية، التي يتم تنفيذها بشكل جيد وتدار بفعالية، على تأمين وحماية النظام البيئي للحاويات الخاصة بك. تنطبق هذه التدابير طوال دورة حياة الحاوية، بدءًا من التطوير مرورًا بنشر الإنتاج، وإلى مجموعة من منسقي الحاويات، والمضيفين، والمنصات.

استخدم إدارة الثغرات الأمنية كجزء من دورة حياة تطوير الحاوية

باستخدام إدارة الثغرات الأمنية الفعالة طوال دورة حياة تطوير الحاوية، يمكنك تحسين احتمالات تحديد وحل المخاوف الأمنية قبل أن تصبح مشكلة أكثر خطورة.

مسح ضوئي بحثاً عن الثغرات الأمنية

يتم اكتشاف ثغرات جديدة طوال الوقت، لذلك يعد المسح الضوئي للثغرات الأمنية وتحديدها عملية مستمرة. دمج مسح الثغرات خلال دورة حياة الحاوية:

• كفحص نهائي في البنية الأساسية لبرنامج ربط العمليات التجارية للتطوير الخاص بك، يجب إجراء مسح ضوئي للثغرات الأمنية على حاويات قبل دفع الصور إلى سجل عام أو خاص.
• متابعة مسح صور الحاوية في التسجيل لتحديد أي عيوب تم بطريقة أو بأخرى أثناء التطوير ومعالجة الثغرات الأمنية المكتشفة حديثاً التي قد تكون موجودة في الرمز المستخدمة في صور الحاوية.

تعيين الثغرات الأمنية لصورة لتشغيل الحاويات

تحتاج إلى وسيلة لتعيين الثغرات الأمنية التي تم تحديدها في صور الحاوية لتشغيل الحاويات، بحيث يمكن التخفيف من مشكلات الأمان أو حلها.

تأكد من استخدام الصور المعتمدة فقط في بيئتك

هناك ما يكفي من التغيير والتقلب في النظام البيئي للحاويات دون السماح لحاويات غير معروفة أيضاً. السماح بصور الحاوية المعتمدة فقط. لديك أدوات وعمليات في مكان لرصد ومنع استخدام الصور حاوية غير معتمدة.

وهناك طريقة فعالة للحد من سطح الهجوم ومنع المطورين من ارتكاب أخطاء أمنية خطيرة هو السيطرة على تدفق الصور حاوية في بيئة التنمية الخاصة بك. على سبيل المثال، قد توافق على توزيع Linux واحد كنسخة أساسية، ويفضل أن تكون نسخة هزيلة (Alpine أو CoreOS بدلاً من Ubuntu)، لتقليل السطح للهجمات المحتملة.

يمكن أن يوفر توقيع الصور أو أخذ بصمات الأصابع سلسلة من الوصاية التي تمكنك من التحقق من سلامة الحاويات. على سبيل المثال، يدعم Azure Container Registry ثقة المحتوى الخاص بـ Docker، والذي يسمح لناشري الصور بتوقيع الصور التي يتم دفعها إلى السجل، ومستهلكي الصور لسحب الصور الموقعة فقط.

السماح بالسجلات المعتمدة فقط

امتداد للتأكد من أن بيئتك تستخدم الصور المعتمدة فقط هو السماح فقط باستخدام سجلات الحاويات المعتمدة. إن اشتراط استخدام سجلات الحاويات المعتمدة يقلل من تعرضك للمخاطر من خلال الحد من احتمال حدوث ثغرات أمنية أو مشكلات أمنية غير معروفة.

ضمان سلامة الصور طوال دورة الحياة

جزء من إدارة الأمن طوال دورة حياة الحاوية هو ضمان سلامة صور الحاوية في السجل وكما يتم تغييرها أو نشرها في الإنتاج.

• لا ينبغي السماح للصور التي بها ثغرات أمنية، حتى ولو كانت طفيفة، بالتشغيل في بيئة إنتاج. ومن الناحية المثالية، ينبغي حفظ جميع الصور المنشورة في الإنتاج في سجل خاص يمكن لعدد قليل مختار الوصول إليه. حافظ على عدد صور الإنتاج صغيرة لضمان إمكانية إدارتها بفعالية.

• نظرًا لصعوبة تحديد أصل البرنامج بدقة من صورة حاوية متاحة للجمهور، أنشئ صورًا من المصدر لضمان معرفة أصل الطبقة. عندما تظهر ثغرة أمنية في صورة حاوية ذاتية الصنع، يمكن للعملاء العثور على مسار أسرع للحل. في صورة عامة، سيحتاج العملاء إلى العثور على جذر صورة عامة لإصلاحها أو الحصول على صورة آمنة أخرى من الناشر.

• لا يضمن أن تكون الصورة الممسوحة ضوئيًّا بدقة المنشورة في الإنتاج محدثة لعمر التطبيق. قد يتم الإبلاغ عن الثغرات الأمنية لطبقات الصورة التي لم تكن معروفة مسبَقًا أو تم تقديمها بعد نشر الإنتاج.

  تدقيق الصور المنشورة في الإنتاج بشكل دوري لتحديد الصور التي عفا عليها الزمن أو التي لم يتم تحديثها منذ فترة. قد تستخدم منهجيات النشر باللون الأزرق والأخضر وآليات الترقية المتداولة لتحديث صور الحاوية دون توقف. يمكنك مسح الصور ضوئيًّا باستخدام الأدوات الموضحة في المقطع السابق.

• استخدم مسار (CI) التكامل المستمر مع مسح أمان متكامل لإنشاء صور آمنة ودفعها إلى سجلك الخاص. يضمن مسح الثغرة الأمنية المضمن في حل CI دفع الصور التي تمر بجميع الاختبارات إلى السجل الخاص الذي يتم نشر أعباء العمل الإنتاجية منه.

  يضمن فشل مسار CI عدم دفع الصور المعرضة للخطر إلى السجل الخاص المستخدم لعمليات نشر أعباء العمل الإنتاجية. كما أنه يعمل على أتمتة فحص أمان الصور إذا كان هناك عدد كبير من الصور. وإلا، يمكن أن يكون التدقيق اليدوي للصور للتحقق من الثغرات الأمنية طويلًا وعرضة للخطأ.

فرض أقل الامتيازات في وقت التشغيل

مفهوم الامتيازات الأقل هو أفضل ممارسة أمنية أساسية تنطبق أيضاً على الحاويات. عندما يتم استغلال مشكلة عدم حصانة، فإنه يعطي المهاجم عموماً الوصول والامتيازات مساوية لتلك التي التطبيق أو عملية اختراق. إن ضمان عمل الحاويات بأقل الامتيازات والوصول المطلوب لإنجاز المهمة يقلل من تعرضك للمخاطر.

تقليل سطح هجوم الحاوية عن طريق إزالة الامتيازات غير الضرورية

يمكنك أيضاً تقليل سطح الهجوم المحتمل عن طريق إزالة أية عمليات أو امتيازات غير مستخدمة أو غير ضرورية من وقت تشغيل الحاوية. تشغيل الحاويات المميزة كجذر. إذا كان مستخدم ضار أو حمل العمل يهرب في حاوية مميزة، سيتم تشغيل الحاوية كجذر على هذا النظام.

الموافقة المسبقة على الملفات والملفات التنفيذية المسموح للحاوية بالوصول إليها أو تشغيلها

يساعدك تقليل عدد المتغيرات أو المجهولات في الحفاظ على بيئة مستقرة، وموثوقة. يعد الحد من الحاويات حتى يتمكنوا من الوصول إلى الملفات والملفات القابلة للتنفيذ المعتمدة مسبقاً أو الآمنة أو تشغيلها طريقة مثبتة للحد من التعرض للمخاطر.

من الأسهل كثيراً إدارة قائمة آمنة عندما يتم تنفيذها من البداية. توفر القائمة الآمنة مقياساً للتحكم والقابلية للإدارة حيث تتعرف على الملفات والملفات التنفيذية المطلوبة لكي يعمل التطبيق بشكل صحيح.

لا تقلل القائمة الآمنة من سطح الهجوم فحسب، بل يمكنها أيضاً توفير خط أساس للمخالفات ومنع حالات استخدام سيناريوهات "الجار المزعج" وسيناريوهات اختراق الحاوية.

فرض تقسيم الشبكة عند تشغيل الحاويات

للمساعدة في حماية الحاويات في شبكة فرعية واحدة من مخاطر الأمان في شبكة فرعية أخرى، حافظ على تقسيم الشبكة (أو تقسيم النانو) أو الفصل بين الحاويات قيد التشغيل. كما قد يكون الحفاظ على تقسيم الشبكة ضروريًّا لاستخدام الحاويات في الصناعات المطلوبة للوفاء بولايات الامتثال.

على سبيل المثال، أداة شريك Aqua يوفر نهجًا آليًّا لتقسيم النانو. تراقب Aqua أنشطة شبكة الحاويات في وقت التشغيل. فهي تحدد جميع اتصالات الشبكة الواردة والصادرة من/إلى الحاويات الأخرى، والخدمات، وعناوين IP، والإنترنت العام. يتم إنشاء تقسيم النانو تلقائيًّا استنادًا إلى حركة المرور المراقبة.

مراقبة نشاط الحاوية ووصول المستخدم

كما هو الحال مع أي بيئة تكنولوجيا المعلومات، يجب مراقبة النشاط باستمرار ووصول المستخدم إلى النظام البيئي الحاوية الخاصة بك لتحديد بسرعة أي نشاط مشبوه أو ضار. يوفر Azure حلول مراقبة الحاوية بما في ذلك:

• Azure Monitor للحاويات يراقب أداء أعباء عملك المنشورة إلى بيئات Kubernetes المستضافة على Azure Kubernetes Service (AKS). تمنحك Azure Monitor للحاويات رؤية للأداء من خلال جمع مقاييس الذاكرة والمعالج من وحدات التحكم، والعقد، والحاويات المتوفرة في Kubernetes من خلال Metrics API.

• يساعدك حل Azure Container Monitoring على عرض مضيفي حاويات docker وWindows الآخرين وإدارتهم في موقع واحد. على سبيل المثال:

  • عرض معلومات التدقيق التفصيلية التي تعرض الأوامر المستخدمة مع الحاويات.
  • استكشاف الحاويات وإصلاحها عن طريق عرض السجلات المركزية والبحث فيها دون الحاجة إلى عرض Docker أو Windows المضيفين عن بعد.
  • العثور على حاويات قد تكون مزعجة وتستهلك الموارد الزائدة على مضيف.
  • عرض مركزية وحدة المعالجة المركزية والذاكرة والتخزين، واستخدام الشبكة ومعلومات الأداء للحاويات.

  يدعم الحل منسقي الحاويات بما في ذلك Docker Swarm، DC/OS، Kubernetes غير المدار ونسيج الخدمة، وRed Hat OpenShift.

مراقبة نشاط مورد الحاوية

مراقبة نشاط المورد، مثل الملفات والشبكة والموارد الأخرى التي تقوم الحاويات بالوصول إليها. إن رصد نشاط الموارد واستهلاكها مفيد لرصد الأداء وكتدبير أمني.

يتيح Azure Monitor المراقبة الأساسية لخدمات Azure من خلال السماح بمجموعة المقاييس، وسجلات الأنشطة، والسجلات التشخيصية. على سبيل المثال، يخبرك سجل النشاط عند إنشاء موارد جديدة أو تعديلها.

تتوفر المقاييس التي توفر إحصائيات الأداء لمختلف الموارد وحتى نظام التشغيل داخل جهاز افتراضي. يمكنك عرض هذه البيانات مع أحد المستكشفين في بوابة Azure وإنشاء تنبيهات بناءً على هذه المقاييس. توفر Azure Monitor أسرع مسار للمقاييس (5 دقائق وصولًا إلى دقيقة 1 واحدة)، لذا يجب استخدامه للتنبيهات والإشعارات الحرجة زمنيًّا.

تسجيل وصول المستخدم الإداري لجميع الحاويات للتدقيق

حافظ على سجل تدقيق دقيق للوصول الإداري إلى النظام البيئي للحاويات، بما في ذلك مجموعة Kubernetes وسجل الحاويات وصور الحاويات. وقد تكون هذه السجلات ضرورية لأغراض مراجعة الحسابات وستكون مفيدة كدليل جنائي بعد وقوع أي حادث أمني. تتضمن حلول Azure ما يلي:

• تكامل Azure Kubernetes Service مع Microsoft Defender for Cloud لمراقبة تكوين الأمان لبيئة المجموعة وإنشاء توصيات الأمان
• حل Azure Container Monitoring
• سجلات الموارد لمثيلات Azure Container وAzure Container Registry

الخطوات التالية

• راجع أساس أمان Azure لمثيلات Container للحصول على توصيات شاملة تساعدك على تحسين وضع الأمان للنشر.

• تعرف على المزيد بشأن استخدام Microsoft Defender for Cloud لاكتشاف التهديدات في الوقت الحقيقي في البيئات المعبأة في حاويات.

• تعرف على المزيد حول إدارة الثغرات الأمنية في الحاويات من خلال حلول من Twistlock وAqua Security.