如何构建更为安全的容器镜像?
容器镜像的安全将成为云原生时代的重要安全话题,从底层的基础镜像,到上层各公司封装的基线镜像,再到各应用系统的发布镜像,每一步的来源及构建过程都会影响到容器镜像的安全性,因此,就如何构建安全的容器镜像成为一个重要问题,底层基础镜像主要来源于各操作系统厂商的镜像底座,公司封装的基线镜像也往往是各公司根据其个性化要求在镜像底座上进行的封装,但在应用系统发布镜像构建环节上,往往难以统一,存在很多难以标准化的问题,比如开发引入的各依赖包的安全性如何把控,产品厂商提供的成熟产品镜像如何保证其安全性等,因此提出该如何构建更为安全的容器镜像问题。
1同行回答
对于自研软件的镜像
1)缩减基线镜像的数量:各应用开发项目组确实会有个性化需求,但不能将基线镜像的选择完全放开。与开发部门沟通的基础上,几十种基线镜像应该能满足大多数情况,版本尽量统一,如果版本不统一则维护的工作量会很大。这个要求可以通过技术规范的方式进行推广。
2)增强基线镜像的安全性:通过精简不必要组件,修复中高危漏洞,使基线镜像本身的安全性得到提升,构筑镜像的安全基底;
3)建立软件成分物料清单:对应问题中的“ 开发引入的各依赖包的安全性 ”,SCA工具可以帮助建立镜像内组件成分的完整台账,一是发现已有漏洞;二是有新漏洞被爆出时也可以迅速定位其影响范围;
4)落实镜像发布前的安全门禁:镜像在发布前,一定要通过镜像漏扫和人工渗透测试进行风险自检与加固;存在中高危漏洞、存在配置风险、敏感信息的镜像统统不允许发布;
对于外采的软件镜像
由于采购方不掌握镜像的构建过程和代码编写过程,通常采购方不会指定供应商使用什么样的基线镜像,或者使用什么样的组件。 所以能控制的点相对少很多。 采购方只能从结果着手,通过镜像漏扫和人工渗透测试来保证镜像的安全,不满足要求的镜像坚决不能部署到生产环境。
上述的控制手段,既需要管理规范层面的落实,也需要安全工具的辅助。
收起