如何为我的企业选择容器安全解决方案?

容器架构的采用正在稳步增长,但安全性和合规性仍然是企业最关心的问题,最近的 民意调查 revealed.

要为您的业务选择合适的容器安全解决方案,您需要考虑多种因素。我们已经与几位行业专业人士进行了交谈,以了解他们对该主题的见解。

本·卡尔,首席信息安全官, 质量

选择容器安全解决方案在选择任何供应商解决方案之前,您必须了解您的组织的特定要求和目标状态。 Mitre 的 ATT&K 容器矩阵可用于了解适用于您的应用程序的攻击面。定义您的用例并确定其优先级——从右开始——保护正在运行的容器和主机——一直到左——扫描注册表、CI/CD 和代码中的漏洞。

定义用例后,运行定义明确且客观的 POC。在 POC 之后,评估供应商的产品是否适合整个安全工具生态系统。例如,如果您使用供应商的产品对您的虚拟机工作负载进行漏洞评估,您是否应该为容器工作负载使用不同的产品?您还应该评估供应商支持与各种工具集成的能力。供应商是否提供丰富的 API?它是否为您的组织中使用的工具提供开箱即用的插件?

最重要的是,不要仅从分析师报告中得出您的要求;否则,您最终将选择具有最多复选标记的产品,但最终可能会也可能不会满足您的业务需求。

亚瑟·富恩特斯,技术产品经理, 比特卫士

选择容器安全解决方案网络犯罪分子和民族国家威胁行为者越来越多地将攻击转向云工作负载,因为这是许多组织现在驻留数据和应用程序的地方。由于大多数云工作负载使用在 Linux 上运行的容器和微服务构建,因此跨异构混合云基础设施扩展安全可见性和控制至关重要。

CISO 和 IT 经理经常忽视保护容器的小而关键的要求,这些要求可能会带来严重的风险。例如,依赖于 Linux 内核本身才能正常运行的安全解决方案可能会导致更新到最新 Linux 发行版的延迟,从而导致安全覆盖范围的差距。

在选择容器安全解决方案时,Linux 内核依赖性只是要考虑的一个因素,以下是要避免的其他错误:

考虑整个生态系统.保护每个容器及其映像至关重要,但不要忽视容器生态系统的其余部分。编排平台、云环境和容器主机都代表着对威胁参与者有吸引力的载体。

忽略自动化作为基本要求.安全自动化应该是一项强制性功能,用于在发现新风险时快速保护和更新整个环境中的容器。

不要只关注运行前安全.运行时威胁保护、检测和响应对于容器环境至关重要,因为零日漏洞继续演变为更加难以捉摸和持久的威胁。

黄飞,首席战略官, 新矢量

选择容器安全解决方案传统的防火墙和其他现有的安全措施不能为企业的现代化容器化环境提供足够的保护——正如新闻头条不断显示的那样。虽然有些人在迁移到容器之前就明白这一点,但太多人只有在安全事件开始出现时才意识到这一点。

企业 CISO 和其他安全领导者在选择容器安全解决方案时需要考虑以下因素:

我可以覆盖整个应用程序生命周期吗? 容器需要从开发一开始、通过测试到部署(企业应用程序在没有彻底安全的情况下最容易受到攻击)进行保护。

我能否经得起严格的合规性要求? 持续满足 PCI 制定的数据安全要求, GDPR, HIPAA 以及其他政府和行业法规需要一种解决方案策略,以确保安全策略的执行并提供足够的合规性报告。

我可以阻止未知的漏洞吗? 已知威胁是一回事,但任何容器安全策略还必须能够保护敏感数据免受零日攻击、内部威胁以及任何尚未提供补丁的漏洞。

我会减慢开发速度吗? 自动化容器安全流程和策略是任何容器解决方案策略的关键部分。安全性至关重要,但不能减慢应用程序的开发速度。

蒂姆·麦基,首席安全策略师, 新思科技

选择容器安全解决方案在选择容器安全解决方案之前,重要的是查看您现有的安全实践中有多少与容器安全实践相矛盾。一个示例来自补丁管理流程,其中代理扫描虚拟环境以确定是否缺少补丁。如果将此做法应用于容器基础架构,则意味着所有容器都需要交互式登录,并且可能需要在容器映像中安装代理。

这两种操作都增加了容器的攻击面,同时造成了显着的性能损失。更好的解决方案是认识到容器实例是作为黄金容器镜像的副本提供的。不是修补每个副本,而是修补黄金映像,然后重新部署容器。

补丁管理并不是容器基础设施安全与传统 IT 模型有何不同的唯一例子。围绕容器化应用程序的日志管理、网络配置和部署注意事项不同于传统 IT。因此,它们需要专门的知识和工具来解决。在评估容器工具时,根据当前的云需求而不是传统 IT 最佳实践来选择标准。

考虑到 Kubernetes 等云技术的发展速度,同样重要的是采购选择标准应关注明年的需求,而不是潜在的未来需求。这有助于确保您从所选的解决方案中看到直接的好处,而无需为可能成为 Kubernetes 标准功能的复杂功能付费。

云原生安全负责人 Mike Milner, 趋势科技

选择容器安全解决方案有许多组件组合在一起构成了一个容器平台,每个方面都需要得到保护。如果您在云中运行,则需要确保正确配置了云环境。你需要保护运行容器的主机,需要扫描容器镜像,需要监控你的协调器是否被滥用,需要监控正在运行的容器是否被利用。您可以将每个方面的功能拼凑在一起,但我的建议是寻找一种解决方案,可以在一个平台中同时处理所有这些方面,并提供跨多个云和平台的广泛支持。

容器很少单独工作。您的应用程序正在使用其他云资源,如数据库和对象存储。它们在网络上运行。要真正了解和改善您的安全风险,您需要了解所有这些不同的组件。如果您确实发生了安全事件,您需要能够在一个地方分析来自每个组件的数据,以发现并响应威胁。您还需要考虑平台的成熟度和支持它的公司。安全威胁在不断演变。理解和发展以应对这些威胁需要长期的承诺。

丹·努尔米,首席技术官, 锚点

选择容器安全解决方案认真应对容器安全挑战并旨在全面了解软件环境至关重要。以下是选择软件容器安全解决方案的三种方法:

设定一个目标.了解有关容器采用的“最终状态”。分析您的组织最终打算如何利用容器。您会将软件开发为容器,运行作为容器提供的软件,还是基于容器构建服务?根据该答案,您选择的容器安全工具和流程会有所不同。

制定路线图.与其说是技术,不如说是过程。不同的安全工具提供不同类型的功能。这些范围可以从纯生成以安全为中心的数据以供安全工程师分析,到针对您的容器环境自动实施严格的安全策略。将您现有的(和/或新的)安全流程映射到可用技术的能力是至关重要的。

深入防御.大多数复杂的组织没有单一的“视图”,其中任何一种工具或技术都可以产生足够的安全覆盖。选择多种解决方案以最适合您的环境方面,它们旨在保护的方面比选择一种在不同系统中提供浅层覆盖的工具要好。重叠是可以的 - 保护环境相同方面的多个工具是可靠的良好做法。

库尔特·沙德,DevOps 安全总经理, 网络方舟

选择容器安全解决方案首先,在保护应用程序、CI/CD 管道和 DevOps 管理员凭据的整体方法的背景下,退后一步并评估容器安全解决方案,而不仅仅是容器。攻击者正在寻找进入您组织的切入点,并会发现一个薄弱环节,可以利用该漏洞到达其他领域。如果您是拥有多个容器环境、项目团队和 CI/CD 管道的大型组织,除非您保护所有这些,否则您很容易受到攻击。

其次,对于机密管理等功能,理想情况下,该产品将与广泛的本地解决方案集成,例如开发人员可能已经在使用的 Amazon Elastic Kubernetes Service (EKS),以最大程度地减少代码更改,并在之间提供机密共享容器平台和工具。避免造成秘密蔓延的“安全孤岛”。

第三,与专注于能够满足组织规模和地域多样性的安全性的供应商合作。例如,在开发环境中工作的机密管理工具可能会在大规模生产中失败。

第四——安全是一个团队游戏——在内部,你需要与开发经理、安全负责人等协调,以确保采用。在外部,单一的解决方案不太可能满足您的所有需求——从机密管理到代码扫描——所以寻找相互集成的供应商。

谢默·施瓦茨,产品管理高级总监, 虚拟机

选择容器安全解决方案与我交谈过的安全领导者不断提出以下用例,需要更好的容器安全性:1) Kubernetes 安全状态管理,2) 容器镜像扫描和漏洞管理,3) 运行时安全性。

对于 CISO 而言,在选择容器安全解决方案时,提高对 Kubernetes 工作负载、开发人员活动和规则配置的可见性应该是您的首要任务。如果您不了解您的基础设施和工作负载的配置方式,您就无法了解您的环境。寻找一种容器安全解决方案,为 SOC 和 DevOps 团队提供所需的可见性,以识别风险、防止攻击和安全地配置云基础架构。

容器镜像扫描是另一个需要考虑的关键特性。 DevOps 团队利用图像扫描来了解生产环境中运行的内容并查看存在哪些漏洞。然后,安全团队可以查看在生产中运行的映像,并按严重程度对漏洞进行优先级排序。

最后,保护您的环境并确保不偏离合规性的最佳方法是采用自动化。选择持续监控应用程序配置状态变化的容器安全解决方案,以帮助您更好地了解您的安全状况并在整个环境中一致地实施策略。




分享这个