Red de conocimiento informático - Aprendizaje de código fuente - Changping Beida Jade Bird comparte problemas de seguridad de configuración de contenedores de desarrollo de programación de software

Changping Beida Jade Bird comparte problemas de seguridad de configuración de contenedores de desarrollo de programación de software

Con el desarrollo continuo de Internet, tenemos nuevos métodos en los campos del desarrollo de programación de software y la arquitectura de dispositivos de hardware, y la optimización ambiental en materia de seguridad nunca se ha olvidado. Comencemos con la capacitación en informática a continuación. sobre los problemas de seguridad relacionados con la configuración del contenedor.

Aislamiento

Al principio, muchas empresas utilizaban la virtualización de hardware. Después de cambiar a contenedores, debe prestar atención al hecho de que el aislamiento discutido en los contenedores es muy diferente al de las máquinas virtuales. (VM) aislamiento. Cuando una aplicación es atacada, el aislamiento proporcionado por la VM puede limitar efectivamente el movimiento lateral del atacante dentro de la pila de aplicaciones, pero las aplicaciones en contenedores solo comparten los recursos del sistema operativo host y no pueden lograr un aislamiento completo. Sin embargo, la probabilidad de ser atacado no es significativamente diferente entre los dos, excepto que el alcance del impacto después de que la máquina virtual sea atacada será relativamente menor.

Una forma sencilla de resolver el problema del aislamiento es ejecutar contenedores en máquinas virtuales. El beneficio significativo de los contenedores es que el tiempo de ejecución puede ejecutarse en cualquier lugar, incluidas las máquinas virtuales, que cada vez se abandonan más. Algunas empresas ejecutan aplicaciones en contenedores en máquinas virtuales para aislar los contenedores a través de la máquina virtual y evitar que los atacantes se muevan lateralmente en la pila de aplicaciones para acceder a datos que pertenecen a otras aplicaciones. Si bien esta política limita la gravedad de un ataque, no impide que ocurra.

Tiempo de ejecución

La naturaleza dinámica de los contenedores introduce nuevas complejidades en el tiempo de ejecución que los equipos de implementación de aplicaciones deben comprender y administrar. Los sistemas de orquestación de contenedores como Kubernetes están diseñados para proporcionar rápidamente imágenes de copia de contenedores. Una aplicación en contenedores consta de una o más imágenes de contenedores que se acoplan para formar la funcionalidad requerida por la aplicación.

La escalabilidad de la aplicación es una función del número de imágenes de contenedores específicas implementadas en un punto determinado. Cuando las nuevas funciones estén listas para su implementación, el propietario de la aplicación creará una política de actualización para garantizar que los usuarios existentes de la aplicación no se vean afectados por la actualización. Esta política de actualización define el porcentaje de espejos que se actualizan con actualizaciones y cómo se revierten si se descubren errores.

Debido a la naturaleza dinámica de las implementaciones en contenedores, la supervisión de comportamientos maliciosos o accesos no autorizados se vuelve más difícil que en los entornos de TI tradicionales. Las aplicaciones en contenedores a menudo tienen diferentes recursos compartidos en el nivel del servidor host. Por estos motivos, los equipos de seguridad y operaciones de TI deben asociarse con sus equipos de desarrollo e implementar el intercambio de información para comprender el comportamiento esperado de las aplicaciones.

Las soluciones de seguridad en tiempo de ejecución son una opción común para detectar y evitar que se ejecute actividad maliciosa en tiempo real. Al monitorear las llamadas de red al host y los intentos de iniciar sesión en contenedores, estas soluciones crean modelos de comportamiento de cada aplicación en el entorno que comprenden las operaciones de red esperadas y la actividad y funcionalidad del sistema de archivos y del sistema operativo.

Gestión de parches

La mayoría de las aplicaciones contenedoras se crean a partir de imágenes base, que son esencialmente sistemas operativos ligeros y limitados. Las imágenes del contenedor de aplicaciones combinan una imagen base con elementos específicos de la aplicación, como marcos, tiempos de ejecución y la aplicación misma. Cada elemento es una capa de la imagen que puede contener vulnerabilidades de software que pueden generar riesgos. Mientras que las pruebas de seguridad de aplicaciones tradicionales se centran en las vulnerabilidades de las aplicaciones, las pruebas de seguridad de aplicaciones en contenedores deben abordar las vulnerabilidades ocultas dentro de la capa de imagen.