Compartilhar via

Visão geral do estágio Executar

  • Artigo

O estágio Run é o quinto estágio da estrutura Containers Secure Supply Chain (CSSC). Esse estágio enfatiza a varredura e o monitoramento dos ambientes de tempo de execução e a limpeza de imagens desatualizadas e vulneráveis. Esta visão geral fornece o plano de fundo, os objetivos e as metas para o estágio Executar da estrutura CSSC.

A estrutura CSSC (Containers Secure Supply Chain) da Microsoft identifica a necessidade de executar contêineres com imagens confiáveis e fornece um conjunto de práticas recomendadas e ferramentas para ajudar a executar imagens com segurança e reduzir a superfície de ataque do tempo de execução. Neste artigo, você aprenderá sobre os objetivos, as práticas recomendadas e as ferramentas que podem ser usadas no estágio Execução da estrutura CSSC.

Tela de fundo

Atualmente, as empresas usam várias abordagens para executar cargas de trabalho em contêineres compatíveis com imagens confiáveis. O monitoramento de cargas de trabalho implantadas fornece às empresas a validação de que o verdadeiro estado operacional é o estado esperado. As imagens de carga de trabalho ficarão vulneráveis no momento ou depois de serem implantadas. Sugere-se que as empresas examinem continuamente seus ambientes e imagens de tempo de execução para detectar quais cargas de trabalho agora estão vulneráveis e quais imagens estão sem suporte para receber atualizações de segurança ou correções de bugs.

O estágio Execução da estrutura CSSC recomenda um conjunto de etapas e controles de segurança que devem ser implementados para garantir que os contêineres em execução e os hosts de tempo de execução sejam seguros, como reciclar nós em tempo hábil, atualizar os contêineres com imagens de contêiner atualizadas e corrigidas, remover as imagens de contêiner obsoletas e não em execução e evitar o comportamento indesejável dos contêineres.

A Microsoft recomenda a execução contínua de vulnerabilidades e verificadores de malware para cargas de trabalho e tempo de execução em contêineres. Atualizar regularmente os contêineres e os nós, bem como manter os nós limpos são práticas eficazes para proteger os aplicativos em contêineres de comprometimento.

  • Analise regularmente se há vulnerabilidades e malware e verifique os metadados do ciclo de vida da imagem para identificar imagens que precisam ser corrigidas e atualizadas. Limpe regularmente imagens obsoletas do cache no nó para reduzir a probabilidade de que imagens obsoletas vulneráveis possam ser usadas por agentes mal-intencionados
  • Configure mecanismos fortes de autenticação e autorização em ambientes de hospedagem e contêineres, bem como execute contêineres não root, pois os invasores não podem acessar os sistemas com facilidade e causar danos em caso de comprometimento
  • Atualize regularmente contêineres e nós de trabalho. Isso garantirá que os contêineres e os nós estejam sendo executados com os patches e correções de segurança mais recentes
  • Reduza a superfície de ataque restringindo a porta de contêiner e nó, restringindo o acesso à rede de contêineres, habilite o TLS mútuo.
  • Impor restrições de recursos a contêineres, como controlar a quantidade de memória ou a CPU que um contêiner pode usar, para reduzir o risco de instabilidade do sistema
  • Siga as diretrizes padrão do setor, como benchmarks CIS, orientação CISE, Práticas recomendadas da cadeia de suprimentos de software CNCF, orientação NIST ou orientação do governo regional com base em suas necessidades

Fluxo de trabalho para varredura e monitoramento contínuos de ambientes de tempo de execução

O estágio Executar tem um fluxo de trabalho para verificar e monitorar continuamente ambientes de tempo de execução. O fluxo de trabalho do estágio de execução se aplica para limpar as imagens de contêiner vulneráveis e desatualizadas. É muito crucial manter os ambientes de tempo de execução seguros, o fluxo de trabalho segue estas etapas:

  1. Analise continuamente vulnerabilidades e malware em cargas de trabalho conteinerizadas e ambientes de tempo de execução para verificar possíveis ameaças à segurança.
  2. Atualize regularmente contêineres e nós de trabalho para garantir que eles estejam sendo executados com os patches e correções de segurança mais recentes.
  3. Atualize regularmente os contêineres e os nós para proteger os aplicativos em contêineres contra comprometimento e evitar o risco de vulnerabilidades de patches e correções.
  4. Verifique os metadados do ciclo de vida da imagem para identificar as imagens que precisam de uma atualização para serem mais recentes e seguras.
  5. Limpe regularmente imagens obsoletas do cache no nó para evitar que imagens obsoletas vulneráveis sejam usadas por agentes mal-intencionados.
  6. Configure mecanismos fortes de autenticação e autorização em ambientes de hospedagem e contêineres, bem como execute contêineres para impedir que invasores acessem os sistemas com facilidade e causem danos após o comprometimento.
  7. Reduza a superfície de ataque restringindo a porta de contêiner e nó, restringindo o acesso à rede de contêineres, habilitando TLS mútuo e impondo restrições de recursos a contêineres, como controlar quanta memória ou CPU um contêiner pode usar, para reduzir o risco de instabilidade do sistema.

Metas de segurança no estágio Executar

O estágio Executar da estrutura CSSC destina-se a satisfazer as seguintes metas de segurança.

Monitore o tempo de execução para reduzir a execução de imagens vulneráveis

Verificar se há vulnerabilidades e conformidade com as políticas da organização nos contêineres. Verifique se os contêineres estão usando a versão mais recente das imagens.

Manter seus contêineres de tempo de execução atualizados garante que os contêineres estejam sempre livres de vulnerabilidades e em conformidade com as políticas da organização. As imagens devem ser monitoradas continuamente durante todas as etapas. Novas imagens do estágio Adquirir ou do estágio Compilação podem disparar a atualização de contêineres de tempo de execução no estágio Executar. As imagens podem ser atualizadas por vários motivos, como corrigir vulnerabilidades, corrigir o software que a licença se torna não compatível e a imagem se tornar o fim do suporte ao longo do tempo. Todas essas atualizações acionarão os contêineres de tempo de execução a serem atualizados.

Evite imagens não compatíveis e limpe imagens obsoletas para minimizar o risco de ataque

É comum que pipelines de CI/CD criem e enviem imagens por push para a plataforma de implantação no estágio Implantar com frequência, mas as imagens não utilizadas em um nó de tempo de execução podem não ser removidas novamente. Isso pode levar ao acúmulo de inchaço no disco e a uma série de imagens não compatíveis que permanecem nos nós. Também é provável que existam vulnerabilidades em imagens obsoletas. A limpeza regular de imagens obsoletas pode evitar varreduras desnecessárias e reduzir a superfície de ataque do ambiente de tempo de execução.

Mantenha o ambiente de hospedagem atualizado e com configurações seguras

Mantenha o ambiente de hospedagem atualizado com as versões de segurança e patches do provedor de nuvem ou upstream confiável. Garanta controle de acesso estrito e permissão de rede limitada para reduzir a superfície de ataque dos ambientes de tempo de execução. Adote a detecção em tempo real de comportamento inesperado, configuração incorreta e ataques no ambiente de hospedagem.

A Microsoft oferece um conjunto de ferramentas e serviços que podem ajudar as empresas a implementar as etapas recomendadas no fluxo de trabalho do estágio de execução e atender às metas de segurança listadas acima.

Ferramentas e serviços para varredura de vulnerabilidades e aplicação de patches de imagens

O Microsoft Defender for Cloud é a solução nativa da nuvem para melhorar, monitorar e manter a segurança de suas cargas de trabalho em contêineres. O Microsoft Defender for Cloud oferece ferramentas de avaliação e gerenciamento de vulnerabilidades para imagens armazenadas no Registro de Contêiner do Azure e contêineres em execução.

Ferramentas e serviços para limpeza de imagens não compatíveis

O Azure Image Cleaner executa a identificação e remoção automática de imagens. Use o Limpador de Imagens do Azure para limpar imagens obsoletas de nós do Kubernetes para cargas de trabalho de contêiner AKS ou use a Borracha de código aberto para ambientes Kubernetes não AKS ou baunilha, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las.

Ferramentas para atualizar automaticamente o serviço de tempo de execução

A atualização automática do cluster fornece um mecanismo do tipo “configure uma vez e esqueça”, que gera benefícios tangíveis de tempo e custo operacional. Ativar o AKS Auto-Upgrade garante que seus clusters estejam atualizados e não perca as versões de segurança ou patches do AKS e do Kubernetes upstream se você estiver usando o AKS.

Próximas etapas

Veja a visão geral do estágio de observabilidade para observar com segurança os contêineres e localizar possíveis problemas de segurança da cadeia de suprimentos a tempo.