Biztonsági szempontok a Azure Container Instances

Ez a cikk a tárolóalkalmazások futtatásához Azure Container Instances használatával kapcsolatos biztonsági szempontokat ismerteti. A témakörök a következők:

  • Biztonsági javaslatok a rendszerképek és titkos kódok kezeléséhez a Azure Container Instances
  • A tároló ökoszisztémájának szempontjai a tároló életciklusa során, bármely tárolóplatform esetében

Az üzembe helyezés biztonsági helyzetének javítását segítő átfogó javaslatokért tekintse meg az Azure biztonsági alapkonfigurációját Container Instances.

Biztonsági javaslatok Azure Container Instances

Privát beállításjegyzék használata

A tárolók egy vagy több adattárban található rendszerképekből állnak össze. Ezek az adattárak tartozhatnak egy nyilvános beállításjegyzékhez, például Docker Hub vagy egy magánregisztrációs adatbázishoz. Privát beállításjegyzék pedig például a Docker Trusted Registry, amely a helyszínen vagy virtuális magánfelhőbe is telepíthető. Felhőalapú privát tárolóregisztrációs adatbázis-szolgáltatásokat is használhat, beleértve a Azure Container Registry is.

A nyilvánosan elérhető tárolólemezképek nem garantálják a biztonságot. A tárolórendszerképek több szoftverrétegből állnak, és minden szoftverrétegnek lehetnek biztonsági rései. A támadások veszélyének csökkentése érdekében lemezképeket kell tárolnia és lekérnie egy privát beállításjegyzékből, például Azure Container Registry vagy Docker Megbízható beállításjegyzékből. A felügyelt magánregisztrációs adatbázis biztosítása mellett Azure Container Registry támogatja a szolgáltatásnév-alapú hitelesítést az Azure Active Directoryn keresztül az alapszintű hitelesítési folyamatokhoz. Ez a hitelesítés szerepköralapú hozzáférést biztosít a csak olvasható (lekéréses), írási (leküldéses) és egyéb engedélyekhez.

Tárolórendszerképek monitorozása és vizsgálata

Használja ki a megoldásokat a tárolórendszerképek magánregisztrációs adatbázisban való vizsgálatához és a lehetséges biztonsági rések azonosításához. Fontos megérteni a különböző megoldások által biztosított fenyegetésészlelés mélységét.

Például Azure Container Registry opcionálisan integrálható a Microsoft Defender for Cloud szolgáltatással a beállításjegyzékbe leküldett összes Linux-rendszerkép automatikus vizsgálatához. Microsoft Defender a Felhő integrált Qualys scannere észleli a rendszerképek biztonsági réseit, besorolja őket, és szervizelési útmutatást nyújt.

A biztonsági monitorozási és képvizsgálati megoldások, például a Twistlock és az Aqua Security is elérhetők a Azure Marketplace keresztül.

Hitelesítő adatok védelme

A tárolók több fürtre és Azure-régióra is kiterjedhetnek. Ezért biztonságossá kell tennie a bejelentkezésekhez vagy API-hozzáféréshez szükséges hitelesítő adatokat, például jelszavakat vagy jogkivonatokat. Győződjön meg arról, hogy csak a kiemelt jogosultsággal rendelkező felhasználók férhetnek hozzá ezekhez a tárolókhoz átvitel közben és inaktív állapotban. Leltárba kell tenni az összes hitelesítőadat-titkos kódot, majd a fejlesztőknek új, tárolóplatformokhoz tervezett titkos kulcskezelési eszközöket kell használniuk. Győződjön meg arról, hogy a megoldás tartalmaz titkosított adatbázisokat, TLS-titkosítást az átvitel alatt álló titkos adatokhoz, valamint a minimális jogosultságú Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC). Az Azure Key Vault egy felhőalapú szolgáltatás, amely a tárolóalapú alkalmazások titkosítási kulcsait és titkos kulcsait (például tanúsítványokat, kapcsolati sztringeket és jelszavakat) védi. Mivel ezek az adatok bizalmasak és üzleti szempontból kritikusak, biztonságos hozzáférés a kulcstartókhoz, hogy csak az engedélyezett alkalmazások és felhasználók férhessenek hozzá.

A tároló ökoszisztémájának szempontjai

A következő, jól és hatékonyan végrehajtott biztonsági intézkedések segíthetnek a tároló-ökoszisztéma védelmében és védelmében. Ezek az intézkedések a tároló teljes életciklusára vonatkoznak, a fejlesztéstől az éles üzembe helyezésig, valamint számos tárolóvezénylőre, gazdagépre és platformra.

Biztonságirés-kezelés használata a tárolófejlesztési életciklus részeként

Ha a tárolófejlesztési életciklus során hatékony biztonságirés-kezelést használ, növeli a biztonsági problémák azonosításának és megoldásának esélyét, mielőtt súlyosabb problémává válnának.

Biztonsági rések keresése

A rendszer folyamatosan észleli az új biztonsági réseket, ezért a biztonsági rések keresése és azonosítása folyamatos folyamat. Biztonságirés-vizsgálat beépítése a tároló teljes életciklusára:

  • A fejlesztési folyamat utolsó ellenőrzéseként végezzen biztonságirés-vizsgálatot a tárolókon, mielőtt a rendszerképeket egy nyilvános vagy privát beállításjegyzékbe küldené.
  • Folytassa a tárolórendszerképek vizsgálatát a beállításjegyzékben, hogy azonosítsa azokat a hibákat, amelyek valamilyen módon kimaradtak a fejlesztés során, és hogy elhárítsa a tárolólemezképekben használt kódban esetlegesen előforduló újonnan felfedezett biztonsági réseket.

Rendszerkép biztonsági réseinek leképezése futó tárolókra

Rendelkeznie kell egy eszközzel, a tárolórendszerképekben azonosított biztonsági rések tárolók futtatására való leképezéséhez, hogy a biztonsági problémák elháríthatók vagy megoldhatók legyenek.

Győződjön meg arról, hogy csak a jóváhagyott rendszerképek vannak használatban a környezetben

Elég változás és volatilitás van a tároló-ökoszisztémában anélkül, hogy ismeretlen tárolókat is engedélyez. Csak jóváhagyott tárolórendszerképek engedélyezése. Rendelkezzen olyan eszközökkel és folyamatokkal, amelyekkel figyelheti és megakadályozhatja a nem jóváhagyott tárolólemezképek használatát.

A támadási felület csökkentésének és a fejlesztők kritikus biztonsági hibák elhárításának hatékony módja a tárolórendszerképek fejlesztési környezetbe történő áramlásának szabályozása. Előfordulhat például, hogy egyetlen Linux-disztribúciót engedélyez alaprendszerképként, lehetőleg egy sovány (Alpine vagy CoreOS, nem pedig Ubuntu) disztribúciót, hogy minimalizálja a lehetséges támadások felületét.

A képaláírás vagy az ujjlenyomat-kezelés felügyeleti láncot biztosíthat, amely lehetővé teszi a tárolók integritásának ellenőrzését. Például Azure Container Registry támogatja a Docker tartalommegbízhatósági modelljét, amely lehetővé teszi, hogy a lemezkép-közzétevők aláírják a regisztrációs adatbázisba leküldett képeket, a képfelhasználók pedig csak aláírt képeket kérjenek le.

Csak jóváhagyott nyilvántartások engedélyezése

Annak biztosítása, hogy a környezet csak jóváhagyott rendszerképeket használjon, csak a jóváhagyott tárolóregisztrációs adatbázisok használatát engedélyezi. A jóváhagyott tárolóregisztrációs adatbázisok használatának megkövetelése csökkenti a kockázatnak való kitettséget azáltal, hogy korlátozza az ismeretlen biztonsági rések vagy biztonsági problémák kialakulásának lehetőségét.

A képek integritásának biztosítása az életciklus során

A tároló életciklusa során a biztonság kezelésének része a tárolórendszerképek integritásának biztosítása a beállításjegyzékben, valamint azok módosításakor vagy éles környezetben való üzembe helyezésekor.

  • A biztonsági résekkel rendelkező, akár kisebb biztonsági résekkel rendelkező képeket nem szabad éles környezetben futtatni. Ideális esetben az éles környezetben üzembe helyezett összes lemezképet egy privát beállításjegyzékbe kell menteni, amely elérhető néhány felhasználó számára. Az éles rendszerképek számának alacsonyan tartása, hogy hatékonyan kezelhetők legyenek.

  • Mivel nehéz meghatározni a szoftver eredetét egy nyilvánosan elérhető tárolórendszerképből, hozzon létre képeket a forrásból a réteg eredetének ismerete érdekében. Ha a saját készítésű tárolórendszerképben jelentkezik valamilyen biztonsági rés, könnyebben található rá megoldás. Nyilvános rendszerkép esetén az ügyfeleknek meg kell találniuk a nyilvános rendszerkép gyökerét a javításhoz, vagy egy másik biztonságos lemezképet kell beszerezni a közzétevőtől.

  • Az éles környezetben üzembe helyezett alaposan beolvasott rendszerképek nem garantáltan naprakészek az alkalmazás teljes élettartama során. Biztonsági rések jelenhetnek meg a rendszerkép korábban nem ismert vagy az éles környezetben való üzembe helyezés után bevezetett rétegeiben.

    Rendszeresen naplózhatja az éles környezetben üzembe helyezett rendszerképeket az elavult vagy egy ideje nem frissített képek azonosításához. A kék-zöld üzembe helyezési módszereket és a működés közbeni frissítési mechanizmusokat használhatja a tárolórendszerképek állásidő nélküli frissítéséhez. A képeket az előző szakaszban ismertetett eszközökkel vizsgálhatja.

  • Használjon folyamatos integrációs (CI) folyamatot integrált biztonsági vizsgálattal a biztonságos rendszerképek létrehozásához és a privát beállításjegyzékbe való leküldéséhez. A CI megoldásba beépített biztonságirés-ellenőrzési funkció biztosítja, hogy az összes teszten megfelelő rendszerképek kerüljenek a privát beállításjegyzékbe, ahonnan az éles számítási feladatok üzembe helyezése történik.

    A CI-folyamat hibája biztosítja, hogy a rendszer ne küldje le a sebezhető lemezképeket az éles számítási feladatok üzembe helyezéséhez használt privát beállításjegyzékbe. Emellett automatizálja a rendszerképek biztonsági vizsgálatát is, ha jelentős számú kép van. Máskülönben a rendszerképek manuális vizsgálata rendkívül hosszadalmas és sok hibalehetőséget tartalmazó folyamat lenne.

Minimális jogosultságok kényszerítése futtatókörnyezetben

A minimális jogosultságok fogalma egy alapszintű biztonsági ajánlott eljárás, amely a tárolókra is vonatkozik. Biztonsági rés kiaknázása esetén a támadó általában a feltört alkalmazás vagy folyamat jogosultságaihoz hasonló hozzáférést és jogosultságokat biztosít. Annak biztosítása, hogy a tárolók a feladat elvégzéséhez szükséges legalacsonyabb jogosultságokkal és hozzáféréssel működjenek, csökkenti a kockázatnak való kitettséget.

Csökkentse a tároló támadási felületét a szükségtelen jogosultságok eltávolításával

A potenciális támadási felületet minimalizálhatja úgy is, hogy eltávolítja a nem használt vagy szükségtelen folyamatokat vagy jogosultságokat a tároló futtatókörnyezetéből. A kiemelt tárolók gyökérként futnak. Ha egy rosszindulatú felhasználó vagy számítási feladat egy emelt szintű tárolóba kerül, a tároló gyökérként fog futni az adott rendszeren.

Előre elkészített fájlok és végrehajtható fájlok, amelyekhez a tároló hozzáférhet vagy futtatható

A változók vagy ismeretlenek számának csökkentése segít a stabil, megbízható környezet fenntartásában. A tárolók korlátozása, hogy csak előre vagy biztonságosan felsorolt fájlokat és végrehajtható fájlokat tudjanak elérni vagy futtatni, bevált módszer a kockázatnak való kitettség korlátozására.

A biztonságos listák kezelése sokkal egyszerűbb, ha már az elejétől kezdve implementálva van. A biztonságos listák a vezérlés és a kezelhetőség mérését biztosítják, mivel megtudhatja, hogy milyen fájlokra és végrehajtható fájlokra van szükség az alkalmazás megfelelő működéséhez.

A biztonságos lista nem csak csökkenti a támadási felületet, de alapkonfigurációt is biztosít az anomáliákhoz, és megakadályozza a "zajos szomszéd" és a tárolótörési forgatókönyvek használati eseteit.

Hálózati szegmentálás kényszerítése futó tárolókon

Az egyik alhálózat tárolóinak egy másik alhálózat biztonsági kockázataival szembeni védelméhez tartsa fenn a hálózati szegmentációt (vagy nanoszegmentációt) vagy a futó tárolók elkülönítését. A hálózati szegmentálás fenntartására szükség lehet olyan iparágak tárolóinak használatához is, amelyek a megfelelőségi követelmények teljesítéséhez szükségesek.

Az Aqua partnereszköz például automatizált megközelítést biztosít a nanoszegmentációhoz. Az Aqua futtatókörnyezetben figyeli a tárolóhálózati tevékenységeket. Azonosítja az összes bejövő és kimenő hálózati kapcsolatot más tárolókhoz, szolgáltatásokhoz, IP-címekhez és a nyilvános internethez. A nanoszegmentáció automatikusan létrejön a figyelt forgalom alapján.

Tárolótevékenység és felhasználói hozzáférés monitorozása

Mint minden informatikai környezet esetében, a gyanús vagy rosszindulatú tevékenységek gyors azonosítása érdekében folyamatosan monitoroznia kell a tevékenységet és a felhasználók hozzáférését a tároló ökoszisztémájához. Az Azure tárolómonitorozási megoldásokat biztosít, többek között a következőket:

  • A tárolókhoz készült Azure Monitor a Azure Kubernetes Service (AKS) által üzemeltetett Kubernetes-környezetekben üzembe helyezett számítási feladatok teljesítményét figyeli. A tárolókhoz készült Azure Monitor lehetővé teszi a teljesítmény láthatóságát a Kubernetesben elérhető vezérlők, csomópontok és tárolók memória- és processzormetrikáinak a Metrics API-n keresztül történő gyűjtésével.

  • Az Azure Container Monitoring megoldással egyetlen helyen tekintheti meg és kezelheti a többi Docker- és Windows-tárológazda adatait. Például:

    • A tárolókkal használt parancsokat megjelenítő részletes naplózási információk megtekintése.
    • Tárolók hibaelhárítása központosított naplók megtekintésével és keresésével, a Docker- vagy Windows-gazdagépek távoli megtekintése nélkül.
    • Keressen olyan tárolókat, amelyek zajosak lehetnek, és felesleges erőforrásokat használnak fel egy gazdagépen.
    • A tárolók központosított processzor-, memória-, tárolási és hálózati használati és teljesítményadatainak megtekintése.

    A megoldás olyan tárolóvezénylőket támogat, mint a Docker Swarm, a DC/OS, a nem felügyelt Kubernetes, a Service Fabric és a Red Hat OpenShift.

Tárolóerőforrás-tevékenység monitorozása

Monitorozza az erőforrás-tevékenységeket, például a fájlokat, a hálózatot és az egyéb erőforrásokat, amelyeket a tárolók érnek el. Az erőforrás-tevékenység és -felhasználás monitorozása mind a teljesítményfigyelés, mind a biztonsági mérték szempontjából hasznos.

Az Azure Monitor lehetővé teszi az Azure-szolgáltatások alapvető monitorozását a metrikák, tevékenységnaplók és diagnosztikai naplók gyűjtésének engedélyezésével. A tevékenységnaplók például elárulják, hogy mikor történt az új erőforrások létrehozása vagy módosítása.

Rendelkezésre állnak olyan metrikák, amelyek a virtuális gépek különböző erőforrásairól, sőt a virtuális gépen futó operációs rendszerről biztosítanak teljesítménystatisztikát. Az adatokat megtekintheti az Azure Portal valamelyik böngészőjében, és riasztásokat hozhat létre a metrikák alapján. Az Azure Monitor biztosítja a leggyorsabb metrikafolyamatot (5 perctől akár 1 percig), így az idő szempontjából kritikus fontosságú riasztásokhoz és értesítésekhez ezt a szolgáltatást érdemes használnia.

Naplózza az összes tárolófelügyeleti felhasználó hozzáférését naplózás céljából

A tároló ökoszisztémájához való rendszergazdai hozzáférés pontos naplózási naplójának fenntartása, beleértve a Kubernetes-fürtöt, a tárolóregisztrációs adatbázist és a tárolórendszerképeket. Ezek a naplók naplózási célokra lehetnek szükségesek, és a biztonsági incidensek után törvényszéki bizonyítékként hasznosak lehetnek. Az Azure-megoldások a következők:

Következő lépések