青藤云安全“蜂巢之声”：OWASP TOP 10风险与容器安全

在安详规模，险些每小我私人都知道OWASP(开源Web应用安详项目)，该组织会按期宣布Web应用Top 10安详风险列表，是相识最必要存眷哪些进攻方法的一个重要资源。在OWASP网站上可以找到有关这些进攻的具体声名，以及有关怎样防备这些进攻的提议。本文，我们将切磋OWASP Top10 风险中与容器相干的内容，并给出相干的缓解法子提议。

　　1、注入

假如代码中存在注入缺陷，进攻者就会操作这一缺陷来执行伪装成数据的呼吁。像DROP TABLE students;-- 这样的呼吁可以形象地声名这个题目。

该风险对付容器来说并没有出格必要留意的内容，但通过容器镜像扫描，可以发明依靠项中存在的已知注入裂痕。

　　2、身份认证失效

此类风险涵盖了身份认证失效和根据受损的环境。在应用层面，相干提议既合用于容器化应用，也合用于传统陈设中的单体应用，可是照旧有一些容器相干的非凡留意事项：

每个容器所需的根据均应视为机要信息。这些机要信息必要审慎储存，然后在运行时转达到容器中。

将一个应用分为多个容器化组件，意味着各个组件之间必要可以或许互体会别、彼此通讯，这凡是是行使根据来实现的。容器间的互体会别与通讯可以由容器来实现，也可通过处事网格来帮助实现。

　　3、敏感信息泄漏

掩护某个应用可以会见的任何小我私人书息、财政信息及其他敏感信息，这一点至关重要。无论是否举办了容器化，都应始终行使强盛的加密算法对静态的敏感信息和传输中的敏感信息举办加密。跟着处理赏罚手段的进步，较老的算法行使也许不再那么安详。

因为敏感数据是加密的，以是应用必要行使根据才气会见。凭证最小特权和职责疏散的原则，只将根据分派给真正必要会见容器的人。

另外，提议扫描容器镜像中的嵌入式密钥、暗码和其他敏感数据。

　　4、XML外部实体

关于这类易受进攻的XML处理赏罚器，没有容器出格必要留意的内容。与注入裂痕一样，提议通过镜像扫描来发明依靠项中是否存在已知裂痕。

　　5、会见节制失效

此类风险包罗因为对不须要的用户或组件授予特权而导致权限滥用。有一些要领，可以对容器应用最小权限：

不要以root用户身份运行容器。

限定授予每个容器的成果。

行使seccomp、AppArmor或SELinux。

只管行使rootless容器。

这些要领可以限定进攻的影响范畴。因为这些要领与应用层面的用户权限无关，因此，凭证一般陈设中的最佳实践提议操纵即可。

　　6、安详设置错误

很多进攻是操作了体系设置不妥的题目。OWASP Top 10中重点先容的示例包罗设置不安详或不完备、开放式云存储以及包括敏感信息的具体错误动静。针对这些题目，有一些针对容器和云原生陈设的缓解法子：

行使诸如CIS基准之类的准则来评估体系是否按照最佳实践举办了设置。尚有针对Docker和Kubernetes以及底层Linux主机的基准。在现真相形中，不太也许遵循每条提议，但这却是评估容器设置一个很好的入手点。

假如行使公有云处事，则可以行使诸如CloudSploit或DivvyCloud之类的器材来搜查容器的配置，并查找是否存在可果真会见的存储桶(bucket)或不妥的暗码计策。Gartner将这些搜查称为“云安详态势打点(CSPM)”。

通过情形变量来通报机要信息很轻易导致这些机要信息通过日记而被泄漏，因此，提议只行使非敏感信息作为情形变量。

另外，也许还必要思量容器镜像各个构成部门的设置信息。

　　7、跨站剧本XSS

这是另一类应用层面的风险种别。对付此类风险，在容器中运行应用时，并没有什么出格的留意事项。但依然是提议通过容器镜像扫描来确认依靠项中是否存在裂痕。

　　8、不安详的反序列化

在这种范例的进攻中，恶意用户会提供一个全心计划的工具，应用将其理会后，会向用户授予其他特权或以某种方法变动应用的举动。据称，花旗****曾经存在一个裂痕，应承登任命户仅通过修改URL就可以会见其他人的帐户。

虽然这种进攻也不是决心针对容器的，但凡是会有一些要领可以限定这种进攻对容器的影响：

断绝执行反序列化的代码，让这些代码在低特权情形中运行。

在专用容器微处事中执行反序列化可以实现断绝结果。

以非root用户身份运行容器，尽也许镌汰其成果并行使最低压缩包的seccomp/AppArmor/SELinux设置文件，从而限定这种进攻的特权操作环境。

限定反序列化的容器或处事器之间的收集流量。

　　9、行使含有已知裂痕的组件

对付此类风险，依然提议通过镜像扫描来辨认容器镜像中存在的已知裂痕。还可以回收恰当的流程或器材：

重建容器镜像，行使最新的修复过的软件包

若发明镜像有裂痕，找到并替代正在行使这些镜像来运行的容器

　　10、日记和监控不敷

OWASP网站上发布了一个令人震惊的统计信息：均匀而言，约莫必要200天才会发明入侵。假如举办了过细的调查并对意生手为举办报警，则可以大大收缩发明入侵的时刻。

在任何出产陈设中，都应该记录容器变乱，包罗：

容器启停，包罗镜像和挪用用户的身份

获取机要信息的环境

对特权的任何修改

修改容器的有用负载，这也许表白代码已注入

入站和出站收集毗连

文件卷挂载

打开收集毗连、写入文件或变动用户权限等操纵失败，这些操纵也许表白进攻者在体系长举办侦察

许多贸易容器安详器材都集成了企业级SIEM(安详信息和变乱打点)，以便通过一此中央体系来相识容器安详状态和警报。这些器材不只可以调查容器安详变乱，在变乱产生后对其举办陈诉，还可以在发明非常举动，没有造成侵害之前举办陈诉，而且可以通过运行时设置文件防备安详变乱的产生。

　　11、总结

OWASP Top 10是一个可以进步任何联网应用的安详性，有用应对常见范例进攻的重要资源。对付这些进攻，本文提出的最重要的提议是扫描容器镜像，查察第三方依靠项中是否存在已知裂痕。尽量镜像扫描也许无法捕捉某些裂痕(出格是应用代码自身存在的可操作缺陷)，但在对容器化陈设回收安详防护器材时，举办镜像扫描会给带来很大收益。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!