如何提高内容安全以及对安全产品的选择

转载声明：本文源于csoonline

官网地址：https://www.csoonline.com/

保护 Docker 和内容基础设施需要一系列的方法、特定的 工具 以及仔细检查你的应用程序。

Gartner将内容安全列为今年的十大关注点之一，因此，现在可能需要更仔细地研究这个问题，并制定一个可靠的安全实现计划。虽然容器已经存在十年了，但是由于其轻量级和可重用的代码、灵活的特性和较低的开发成本，它们正变得越来越受欢迎。我将介绍建设这种环境所需的各种工具，内容自身所需的工具，以及用于监视/审计/遵从性目的的工具。当然，没有一种工具可以做所有的事情。

具体从以下几个基本步骤开始

1.查看云服务 

第一步是熟悉云提供商提供的内置安全性。这些工具包括Azure安全中心、谷歌Kubernetes引擎、谷歌云安全指挥中心和Amazon Inspector。有些，比如Azure Security Center，是通用的安全工具，不是为容器设计的。

2.熟悉本地docker相关的安全特性 

这包括使用策略防止资源滥用、设置访问控制组并确保在不需要根访问的地方删除根访问。

3.GitHub开源项目 

在某些情况下，Bench Security(用于检查代码中的安全最佳实践)和其他 linux 原生工具(如seccomp)等项目可能是低成本的选项。稍后我将介绍其他开源工具。

这是一个需要我们去多多学习和理解的软件，但是你应该从中找出其中比较常见的特性，例如身份和身份证，对于客户和你打算构建的最终应用程序，以及如何控制这种访问都有帮助。此外，你还需要检查和审计日志文件，以及如何查看和筛选日志文件，以提供关于安全状态的可操作信息。最后，还有用于保护API密匙和SSL证书等机密的底层基础设施。毕竟，你是希望以加密格式存储这些文件。

让我们看看在数据安全环境下需要保护的内容有哪三方面吧。

①  保护所构建的环境

因为内容对开发人员非常有用，所以有必要在创建容器时将下一个应用程序转移到DevSecOps领域并添加安全性，而不是等到项目被编码为栓接体之后。这始终是保护应用程序安全的最佳实践。在选择合适的安全工具之前，有一些重要的问题需要如下解答:

你能够控制哪些流程保证应用程序的安全性? 一些工具可以在这方面提供帮助，特别是在编制方面。然而，许多编制工具关注内容管理，而不一定关注细节。这使得在公用事业和实际保护之间找到平衡有些困难。

对于应用程序和用户的访问控制，你需要限制多少? 在这里，很有必要了解这些控件是如何应用的以及它们的限制是什么。例如，了解清楚查看部分代码和容器具有哪些内核访问权限，以及是否需要这种级别的访问来完成它们的工作，这样做对其安全性是有利的。

应该使用运行时应用程序自我保护(RASP)技术吗? 答案是，应该。与专注于应用程序的常规面向rasp的工具一样，有些工具专门针对容器运行时应用程序保护，可以使用静态扫描，也可以使用开发环境进行持续集成。后一种形式很有帮助，因为容器代码在不断变化，当你必须修补或更新某些内容时，进行连续的代码审计可以节省大量时间。一个好的RASP容器工具应该能够标记异常行为，纠正潜在的威胁，并能够隔离特殊事件，以便进行进一步的分析。

② 保护存储容器的底层主机

运行一个精简版的Linux，就意味着其中运行的服务尽可能少，以减少潜在的攻击面。有些工具的设计目的是使主机本身更加坚固。

实现此目的的另一种方法是使用上面提到的Docker控件组，并隔离名称空间以反映安全性策略，并将容器彼此隔离以防止相互感染。有些商店使用来自云提供商的虚拟私有连接来实现这种隔离。这个过程的一部分是通过使用访问级别和其他机制隔离工作负载，并限制每台主机运行的容器的数量。由于这个原因，有些商店只在每台主机上运行一个容器。

③ 关于内容保护

这里我们来看一下图像的软件供应链。这些是容器构建块，因此一个基本特性是能够强制执行映像源完整性保护，这意味着如果你的员工(或通过你最初从其获得容器的开源项目)对映像进行了更改，然而，你知道更改了什么吗?

考虑到许多容器在internet上共享，这是一个有用的特性。与此相关的是能够扫描这些图像，以确保它们没有感染。你多久能做一次，并且你能扫描吗?能够从可信来源获取图像是有帮助的，但是每个人都会犯错误，并且可能在不经意间引入安全问题。

然而，对于某些商店，你可能实际上并不关心内容中存在哪些漏洞。这似乎令人惊讶，但有一点值得注意。只有在能够充分保护容器边界，或者因为实际的应用程序代码没有触及容器代码的这些部分时，这才会有效。

你对安全工具的信任程度可能决定你可以容忍多少漏洞。

关于典型的内容安全产品

在考虑了安全性需求的范围以后，让我们来看一些典型的保护内容安全的产品。选用最适合你的软件，或者换句话说，在你的预算范围内购买你想要的产品?

可以从Sysdig开始你的工具发现过程，他们有一系列优秀的教程(当然使用他们的软件作为模型)，带领你了解一些常见的安全用例，例如为奇怪的行为审计运行时代码、执行法医分析和检查漏洞。该公司还提供其开源的RASP工具Falco和商业工具Monitor and Secure，后者用于图像扫描和漏洞监控。

主要的开源工具包括:

● 用于RASP的设备

● 用于漏洞分析和图像扫描的anchore

● 用于网络和HTTP层安全的cilium

●用于静态代码分析的Coreos Clair

●用于静态漏洞分析和监控的dagda

●提供免费的实时和自动化代码测试的saucelabs

主要的商业供应商包括:

● 用于管理容器标识和日志分析的alertlogic

●用于RASP、审计、图像扫描和容器id的aquasec

● 成立不久的漏洞检查公司利用其Nessus的安全专业知识，收购并整合到其容器图像扫描仪中

● 用于RASP和额外的机器学习保护的Twistlock

●Threatstack将漏洞监控工具作为其云安全平台的一部分

大多数供应商会提供试用服务，所以你可以在购买前尝试一下。许多evals都有注册页面，以此来跟踪线索。因为这些工具是根据API调用或其他使用指标收费的，所以它们中的大多数都有详细的定价模型，而不是在每个供应商的网站上发布。