Az Azure Container Instances biztonsági szempontjai

Ez a cikk az Azure Container Instances tárolóalkalmazások tárolóalkalmazások futtatására való használatával kapcsolatos biztonsági szempontokat ismerteti. A témakörök a következők:

• Biztonsági javaslatok az Azure Container Instances rendszerképeinek és titkos kulcsainak kezeléséhez
• A tároló ökoszisztémájának szempontjai a tároló teljes életciklusa során, bármilyen tárolóplatform esetében

Az üzembe helyezés biztonsági helyzetének javításához segítséget nyújtó átfogó javaslatokért tekintse meg a Tárolópéldányok Azure biztonsági alapkonfigurációját.

Biztonsági javaslatok az Azure Container Instances szolgáltatáshoz

Privát beállításjegyzék használata

A tárolók egy vagy több adattárban található rendszerképekből állnak össze. Ezek az adattárak tartozhatnak egy nyilvános beállításjegyzékhez, például a Docker Hubhoz vagy egy magánregisztrációs adatbázishoz. Privát beállításjegyzék pedig például a Docker Trusted Registry, amely a helyszínen vagy virtuális magánfelhőbe is telepíthető. Felhőalapú privát tárolóregisztrációs szolgáltatásokat is használhat, beleértve az Azure Container Registryt is.

A nyilvánosan elérhető tárolólemezképek nem garantálják a biztonságot. A tárolólemezképek több szoftverrétegből állnak, és mindegyik szoftverréteg biztonsági résekkel rendelkezhet. A támadások veszélyének csökkentése érdekében lemezképeket kell tárolnia és lekérnie egy privát beállításjegyzékből, például az Azure Container Registryből vagy a Docker Megbízható beállításjegyzékből. A felügyelt magánregisztrációs adatbázis biztosítása mellett az Azure Container Registry támogatja a szolgáltatásnév-alapú hitelesítést a Microsoft Entra-azonosítón keresztül az alapszintű hitelesítési folyamatokhoz. Ez a hitelesítés szerepköralapú hozzáférést biztosít írási (lekéréses), írási (leküldéses) és egyéb engedélyekhez.

Tárolólemezképek monitorozása és vizsgálata

Használja ki a megoldásokat a tárolólemezképek magánregisztrációs adatbázisban való vizsgálatához és a lehetséges biztonsági rések azonosításához. Fontos megérteni a különböző megoldások által biztosított fenyegetésészlelés mélységét.

Az Azure Container Registry például opcionálisan integrálható a Felhőhöz készült Microsoft Defender a beállításjegyzékbe leküldett összes Linux-rendszerkép automatikus vizsgálatához. Felhőhöz készült Microsoft Defender integrált Qualys-szkennere észleli a rendszerkép biztonsági réseit, osztályozza őket, és szervizelési útmutatást nyújt.

A biztonsági monitorozási és képvizsgálati megoldások, például a Twistlock és az Aqua Security is elérhetők az Azure Marketplace-en keresztül.

Hitelesítő adatok védelme

A tárolók több fürtre és Azure-régióra is kiterjedhetnek. Ezért biztonságossá kell tennie a bejelentkezésekhez vagy API-hozzáféréshez szükséges hitelesítő adatokat, például jelszavakat vagy jogkivonatokat. Győződjön meg arról, hogy csak a kiemelt felhasználók férhetnek hozzá a tárolókhoz átvitel közben és inaktív állapotban. Leltározza az összes hitelesítőadat-titkos kódot, majd megköveteli a fejlesztőktől, hogy a tárolóplatformokhoz tervezett új titkos kulcskezelési eszközöket használják. Győződjön meg arról, hogy a megoldás tartalmaz titkosított adatbázisokat, tLS-titkosítást az átvitt titkos adatokhoz, valamint a minimális jogosultságú Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC). Az Azure Key Vault egy felhőalapú szolgáltatás, amely a tárolóalapú alkalmazások titkosítási kulcsait és titkos kulcsait (például tanúsítványokat, kapcsolati sztring és jelszavakat) védi. Mivel ezek az adatok bizalmasak és üzleti szempontból kritikus fontosságúak, biztonságos hozzáférést biztosítanak a kulcstartókhoz, hogy csak az engedélyezett alkalmazások és felhasználók férhessenek hozzá.

A tároló ökoszisztémájának szempontjai

A következő, jól és hatékonyan végrehajtott biztonsági intézkedések segíthetnek a tárolórendszer biztonságossá tételében és védelmében. Ezek az intézkedések a tároló teljes életciklusára vonatkoznak, a fejlesztéstől az éles üzembe helyezésig, valamint a tárolóvezénylők, gazdagépek és platformok széles körére.

A biztonságirés-kezelés használata a tárolófejlesztési életciklus részeként

Ha hatékony biztonságirés-kezelés használ a tárolófejlesztési életciklus során, javíthatja a biztonsági problémák azonosításának és megoldásának esélyét, mielőtt súlyosabb problémává válnának.

Biztonsági rések keresése

Az új biztonsági rések mindig felderítésre kerülnek, ezért a biztonsági rések keresése és azonosítása folyamatos folyamat. A biztonsági rések vizsgálatának beépítése a tároló teljes életciklusára:

• A fejlesztési folyamat utolsó ellenőrzéseként végezzen biztonságirés-vizsgálatot a tárolókon, mielőtt a rendszerképeket egy nyilvános vagy magánregisztrációs adatbázisba küldené.
• Folytassa a tárolórendszerképek keresését a beállításjegyzékben, hogy azonosítsa a fejlesztés során valamilyen módon elmulasztott hibákat, és elhárítsa a tárolólemezképekben használt kódban esetlegesen előforduló újonnan felfedezett biztonsági réseket.

Rendszerkép biztonsági réseinek leképezése futó tárolókra

Rendelkeznie kell egy eszközzel, a tárolólemezképekben azonosított biztonsági rések tárolók futtatására való leképezéséhez, hogy a biztonsági problémák elháríthatók vagy megoldhatók legyenek.

Győződjön meg arról, hogy csak jóváhagyott rendszerképek vannak használatban a környezetben

A tároló-ökoszisztémában elegendő változás és változékonyság van anélkül, hogy ismeretlen tárolókat is engedélyez. Csak jóváhagyott tárolólemezképek engedélyezése. Rendelkezzen olyan eszközökkel és folyamatokkal, amelyek figyelik és megakadályozzák a nem jóváhagyott tárolólemezképek használatát.

A támadási felület csökkentésének és a fejlesztők kritikus biztonsági hibák elhárításának hatékony módja a tárolólemezképek fejlesztési környezetbe való áramlásának szabályozása. Például egyetlen Linux-disztribúciót is engedélyezhet alaprendszerképként, lehetőleg sovány (Alpine vagy CoreOS, nem Ubuntu helyett) a felület minimalizálása érdekében.

A képaláírás vagy az ujjlenyomat-kezelés olyan felügyeleti láncot biztosíthat, amely lehetővé teszi a tárolók integritásának ellenőrzését. Az Azure Container Registry például támogatja a Docker tartalommegbízhatósági modelljét, amely lehetővé teszi, hogy a rendszerkép-közzétevők aláírják a regisztrációs adatbázisba leküldéses rendszerképeket, a képfelhasználók pedig csak aláírt képeket kérjenek le.

Csak jóváhagyott nyilvántartások engedélyezése

Annak biztosítása, hogy a környezet csak jóváhagyott rendszerképeket használjon, csak a jóváhagyott tárolóregisztrációs adatbázisok használatát engedélyezi. A jóváhagyott tárolóregisztrációs adatbázisok használatának megkövetelése csökkenti a kockázatnak való kitettséget azáltal, hogy korlátozza az ismeretlen biztonsági rések vagy biztonsági problémák előfordulásának lehetőségét.

A képek integritásának biztosítása az életciklus során

A tároló életciklusa során a biztonság kezelésének része a tárolórendszerképek integritásának biztosítása a beállításjegyzékben, valamint azok módosítása vagy éles környezetben való üzembe helyezése során.

• A biztonsági résekkel rendelkező képeket nem szabad éles környezetben futtatni. Ideális esetben az éles környezetben üzembe helyezett összes lemezképet egy néhány számára elérhető privát beállításjegyzékbe kell menteni. Az éles rendszerképek számának kicsiben tartása annak érdekében, hogy hatékonyan kezelhetők legyenek.

• Mivel nehéz meghatározni a szoftver eredetét egy nyilvánosan elérhető tárolórendszerképből, hozzon létre képeket a forrásból a réteg eredetének ismerete érdekében. Ha a saját készítésű tárolórendszerképben jelentkezik valamilyen biztonsági rés, könnyebben található rá megoldás. Nyilvános lemezkép esetén az ügyfeleknek meg kell találniuk a nyilvános rendszerkép gyökerét a javításhoz, vagy egy másik biztonságos lemezképet kell beszerezni a közzétevőtől.

• Az éles környezetben üzembe helyezett alaposan beolvasott rendszerképek nem garantáltan naprakészek az alkalmazás teljes élettartama alatt. Biztonsági rések jelenhetnek meg a rendszerkép korábban nem ismert vagy az éles környezetben való üzembe helyezés után bevezetett rétegeiben.

  Rendszeresen naplózhatja az éles környezetben üzembe helyezett rendszerképeket az elavult vagy egy ideje nem frissített képek azonosítása érdekében. A tárolólemezképek állásidő nélküli frissítéséhez kék-zöld üzembe helyezési módszereket és működés közbeni frissítési mechanizmusokat használhat. Az előző szakaszban ismertetett eszközökkel képeket vizsgálhat.

• Használjon folyamatos integrációs (CI) folyamatot integrált biztonsági vizsgálattal biztonságos rendszerképek létrehozásához és a privát beállításjegyzékbe való leküldéséhez. A CI megoldásba beépített biztonságirés-ellenőrzési funkció biztosítja, hogy az összes teszten megfelelő rendszerképek kerüljenek a privát beállításjegyzékbe, ahonnan az éles számítási feladatok üzembe helyezése történik.

  A CI-folyamat hibája biztosítja, hogy a rendszer ne küldje le a sebezhető lemezképeket az éles számítási feladatok üzembe helyezéséhez használt privát beállításjegyzékbe. Emellett automatizálja a rendszerképek biztonsági vizsgálatát, ha jelentős számú kép van. Máskülönben a rendszerképek manuális vizsgálata rendkívül hosszadalmas és sok hibalehetőséget tartalmazó folyamat lenne.

Minimális jogosultságok kényszerítése futtatókörnyezetben

A minimális jogosultságok fogalma alapvető biztonsági ajánlott eljárás, amely a tárolókra is vonatkozik. A biztonsági rések kihasználása esetén általában a támadónak egyenlő hozzáférést és jogosultságokat biztosít, mint a feltört alkalmazás vagy folyamat. Annak biztosítása, hogy a tárolók a feladat elvégzéséhez szükséges legalacsonyabb jogosultságokkal és hozzáféréssel működjenek, csökkenti a kockázatnak való kitettséget.

A szükségtelen jogosultságok eltávolításával csökkentse a tároló támadási felületét

A potenciális támadási felületet minimalizálhatja úgy is, hogy eltávolítja a nem használt vagy szükségtelen folyamatokat vagy jogosultságokat a tároló futtatókörnyezetéből. A kiemelt tárolók gyökérként futnak. Ha egy rosszindulatú felhasználó vagy számítási feladat egy emelt szintű tárolóban menekül, akkor a tároló gyökérként fog futni a rendszeren.

Előre elkészített fájlok és végrehajtható fájlok, amelyekhez a tároló hozzáférhet vagy futtatható

A változók vagy ismeretlenek számának csökkentése segít a stabil, megbízható környezet fenntartásában. A tárolók korlátozása, hogy csak előre vagy biztonságosan elérhető vagy biztonságos fájlokat és végrehajtható fájlokat tudjanak elérni vagy futtatni, bevált módszer a kockázatnak való kitettség korlátozására.

Sokkal egyszerűbb a biztonságos listák kezelése, ha az elejétől kezdve implementálva van. A biztonságos listák az ellenőrzés és a kezelhetőség mértékét biztosítják, mivel megtudhatja, hogy milyen fájlokra és végrehajtható fájlokra van szükség az alkalmazás megfelelő működéséhez.

A biztonságos lista nem csak csökkenti a támadási felületet, de alapkonfigurációt is biztosíthat az anomáliákhoz, és megakadályozhatja a "zajos szomszéd" és a tárolókitörési forgatókönyvek használati eseteit.

Hálózati szegmentálás kényszerítése futó tárolókon

Az egyik alhálózat tárolóinak egy másik alhálózat biztonsági kockázataival szembeni védelméhez tartsa fenn a hálózati szegmentációt (vagy nanoszegmentációt) vagy a futó tárolók elkülönítését. A hálózati szegmentálás fenntartására is szükség lehet a megfelelőségi követelmények teljesítéséhez szükséges iparágak tárolóinak használatához.

Az Aqua partnereszköz például automatizált megközelítést biztosít a nanoszegmentáláshoz. Az Aqua futtatókörnyezetben figyeli a tárolóhálózati tevékenységeket. Azonosítja az összes bejövő és kimenő hálózati kapcsolatot más tárolókhoz, szolgáltatásokhoz, IP-címekhez és a nyilvános internethez. A nanoszegmentáció automatikusan létrejön a figyelt forgalom alapján.

Tárolótevékenység és felhasználói hozzáférés figyelése

Mint minden informatikai környezet esetén, a gyanús vagy rosszindulatú tevékenységek gyors azonosítása érdekében folyamatosan figyelnie kell a tevékenységet és a tároló ökoszisztémájához való felhasználói hozzáférést. Az Azure tárolómonitorozási megoldásokat biztosít, többek között a következőket:

• A tárolókhoz készült Azure Monitor az Azure Kubernetes Service-ben (AKS) üzemeltetett Kubernetes-környezetekben üzembe helyezett számítási feladatok teljesítményét figyeli. A tárolókhoz készült Azure Monitor a Metrika API-n keresztül a Kubernetesben elérhető vezérlők, csomópontok és tárolók memória- és processzormetrikáinak gyűjtésével biztosítja a teljesítmény láthatóságát.

• Az Azure Container Monitoring megoldással egyetlen helyen tekintheti meg és kezelheti a Többi Docker- és Windows-tároló gazdagépet. Például:

  • A tárolókkal használt parancsokat megjelenítő részletes naplózási információk megtekintése.
  • Tárolók hibaelhárítása központosított naplók megtekintésével és keresésével anélkül, hogy távolról kellene megtekintenie a Docker- vagy Windows-gazdagépeket.
  • Keressen olyan tárolókat, amelyek zajosak lehetnek, és felesleges erőforrásokat használnak fel egy gazdagépen.
  • A tárolók központosított processzor-, memória-, tárolási és hálózati használatának és teljesítményadatainak megtekintése.

  A megoldás olyan tárolóvezénylőket támogat, mint a Docker Swarm, a DC/OS, a nem felügyelt Kubernetes, a Service Fabric és a Red Hat OpenShift.

Tárolóerőforrás-tevékenység figyelése

Figyelje az erőforrástevékenységet, például a fájlokat, a hálózatot és a tárolók által elért egyéb erőforrásokat. Az erőforrás-tevékenység és a felhasználás monitorozása mind a teljesítményfigyelés, mind a biztonsági mérték szempontjából hasznos.

Az Azure Monitor lehetővé teszi az Azure-szolgáltatások alapvető figyelését a metrikák, tevékenységnaplók és diagnosztikai naplók gyűjtésének engedélyezésével. A tevékenységnaplók például elárulják, hogy mikor történt az új erőforrások létrehozása vagy módosítása.

Rendelkezésre állnak olyan metrikák, amelyek a virtuális gépek különböző erőforrásairól, sőt a virtuális gépen futó operációs rendszerről biztosítanak teljesítménystatisztikát. Az adatokat megtekintheti az Azure Portal valamelyik böngészőjében, és riasztásokat hozhat létre a metrikák alapján. Az Azure Monitor biztosítja a leggyorsabb metrikafolyamatot (5 perctől akár 1 percig), így az idő szempontjából kritikus fontosságú riasztásokhoz és értesítésekhez ezt a szolgáltatást érdemes használnia.

Naplózza az összes tároló rendszergazdai felhasználói hozzáférését a naplózáshoz

A tároló ökoszisztémájához való rendszergazdai hozzáférés pontos naplójának fenntartása, beleértve a Kubernetes-fürtöt, a tárolóregisztrációs adatbázist és a tárolórendszerképeket. Ezek a naplók naplózási célokra lehetnek szükségesek, és a biztonsági incidensek után törvényszéki bizonyítékként is hasznosak lehetnek. Az Azure-megoldások a következők:

• Az Azure Kubernetes Service integrálása a Felhőhöz készült Microsoft Defender a fürtkörnyezet biztonsági konfigurációjának monitorozásához és biztonsági javaslatok létrehozásához
• Azure Container Monitoring megoldás
• Az Azure Container Instances és az Azure Container Registry erőforrásnaplói

Következő lépések

• A Tárolópéldányok Azure biztonsági alapkonfigurációjában átfogó javaslatokat találhat, amelyek segítenek javítani az üzembe helyezés biztonsági helyzetén.

• További információ a Felhőhöz készült Microsoft Defender tárolóalapú környezetekben való valós idejű fenyegetésészleléshez való használatáról.

• További információ a tárolók biztonsági réseinek kezeléséről a Twistlock és az Aqua Security megoldásaival.