用户工具

站点工具


service:techmag:201906_035:03

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

两侧同时换到之前的修订记录 前一修订版
后一修订版
前一修订版
service:techmag:201906_035:03 [2019/08/14 10:43]
-
service:techmag:201906_035:03 [2019/08/29 01:24] (当前版本)
-
行 3: 行 3:
 {{tag>​容器安全、证券行业}} {{tag>​容器安全、证券行业}}
 <WRAP centeralign>​ <WRAP centeralign>​
-**杨培骏/​华泰证券 yangpeijun@htsc.com**\\ +**杨培骏 / 华泰证券 yangpeijun@htsc.com**\\ 
-**张嵩/​华泰证券 zhang_song@htsc.com **\\ +**张嵩 / 华泰证券 zhang_song@htsc.com **\\ 
-**管文琦/​华泰证券 guanwenqi@htsc.com**\\ +**管文琦 / 华泰证券 guanwenqi@htsc.com**\\ 
-**庄飞/​华泰证券 ​ zhuangfei@htsc.com**\\ +**庄飞 / 华泰证券 ​ zhuangfei@htsc.com**\\ 
-**朱凯/​华泰证券 ​ zhukai012131@htsc.com**\\+**朱凯 / 华泰证券 ​ zhukai012131@htsc.com**\\
 </​WRAP>​ </​WRAP>​
   **摘要**:​ 随着容器技术的兴起,越来越多的应用选择容器部署,与此同时,容器的安全性问题也受到了越来越广泛的关注。基于此,我们融合了容器和安全两个技术领域进行共同探索,形成了一套行之有效的容器安全最佳实践,建立了容器全生命周期安全管理方法论,利用完整的安全工具链对容器进行检测、监控及修复,保障容器镜像及运行环境的安全。\\   **摘要**:​ 随着容器技术的兴起,越来越多的应用选择容器部署,与此同时,容器的安全性问题也受到了越来越广泛的关注。基于此,我们融合了容器和安全两个技术领域进行共同探索,形成了一套行之有效的容器安全最佳实践,建立了容器全生命周期安全管理方法论,利用完整的安全工具链对容器进行检测、监控及修复,保障容器镜像及运行环境的安全。\\
行 17: 行 17:
 ===== 二、容器全生命周期安全管理 ===== ===== 二、容器全生命周期安全管理 =====
   容器的整个生命周期,都需要进行安全管理。从镜像拉取、构建、部署、运行等阶段,都有完整的安全工具链进行跟踪、检测及监控,保障容器镜像及运行环境的安全,容器安全工具链如下图:\\   容器的整个生命周期,都需要进行安全管理。从镜像拉取、构建、部署、运行等阶段,都有完整的安全工具链进行跟踪、检测及监控,保障容器镜像及运行环境的安全,容器安全工具链如下图:\\
- +{{ :​service:​techmag:​201906_035:​1.rongqianquanshengmingzhouqi.png |}} 
- +<WRAP centeralign> ​
 图1容器全生命周期安全管理 图1容器全生命周期安全管理
-1) 从源头消除已知含有漏洞组件以及镜像的使用:从互联网Docker镜像仓库拉取镜像时,必须经过Docker安全工具扫描,确认无安全漏洞,才可以拉取到内部安全镜像仓库;第三方开源组件入库时,使用开源组件安全扫描工具进行入库检测;\\ +</​WRAP>​ 
-2) 容器构建阶段,进行源代码安全扫描、开源组件安全扫描及Docker安全扫描;\\ +  1) 从源头消除已知含有漏洞组件以及镜像的使用:从互联网Docker镜像仓库拉取镜像时,必须经过Docker安全工具扫描,确认无安全漏洞,才可以拉取到内部安全镜像仓库;第三方开源组件入库时,使用开源组件安全扫描工具进行入库检测;\\ 
-3) 镜像部署到测试环境后,进行web应用安全扫描、安全加固检测及主机安全测试;\\ +  2) 容器构建阶段,进行源代码安全扫描、开源组件安全扫描及Docker安全扫描;\\ 
-4) 开发测试环境及生成环境间镜像同步,通过容器云平台自动化同步;\\ +  3) 镜像部署到测试环境后,进行web应用安全扫描、安全加固检测及主机安全测试;\\ 
-5) 镜像部署到生成环境,应用系统上线后,安全常规运营,持续进行WEB安全扫描及主机安全扫描;\\ +  4) 开发测试环境及生成环境间镜像同步,通过容器云平台自动化同步;\\ 
-6) 通过容器安全扫描工具持续跟踪CVE漏洞数据库中的最新漏洞,当最新CVE漏洞通告公布后,针对这个最新漏洞库,自动测试已有的所有容器镜像,帮助安全团队对新增风险做出快速响应。\\+  5) 镜像部署到生成环境,应用系统上线后,安全常规运营,持续进行WEB安全扫描及主机安全扫描;\\ 
 +  6) 通过容器安全扫描工具持续跟踪CVE漏洞数据库中的最新漏洞,当最新CVE漏洞通告公布后,针对这个最新漏洞库,自动测试已有的所有容器镜像,帮助安全团队对新增风险做出快速响应。\\
 ===== 三、容器安全的落地实践 ===== ===== 三、容器安全的落地实践 =====
   我们经过对容器安全进行长期的研究、设计、验证和实践,对容器安全进行了有效的落地,支撑了容器应用安全地运行,下面介绍容器安全落地的一些实践,主要包括:Docker安全、Kubernetes安全、内部安全镜像仓库、安全风险度量及可视化、容器技术规范、容器安全扫描工具自动化集成。\\   我们经过对容器安全进行长期的研究、设计、验证和实践,对容器安全进行了有效的落地,支撑了容器应用安全地运行,下面介绍容器安全落地的一些实践,主要包括:Docker安全、Kubernetes安全、内部安全镜像仓库、安全风险度量及可视化、容器技术规范、容器安全扫描工具自动化集成。\\
行 38: 行 39:
   有报告显示,Docker Hub上公开热门镜像中的前十页镜像,在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多经常使用的镜像都包含在其中,如:Httpd,Nginx,Mysql等。\\   有报告显示,Docker Hub上公开热门镜像中的前十页镜像,在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多经常使用的镜像都包含在其中,如:Httpd,Nginx,Mysql等。\\
   基于此种情况,我们建立了内部安全镜像仓库:\\   基于此种情况,我们建立了内部安全镜像仓库:\\
-1) 内部所有容器构建,只能基于内部安全镜像仓库;禁止开发人员从公共网络直接下载镜像,而是维护一个安全的内部镜像仓库。开发团队和安全团队合作,建立和维护内部的镜像仓库。架构师、容器项目组和安全团队持续维护镜像库为最新版本,同时建立了开发人员请求新镜像的流程。\\ +  1) 内部所有容器构建,只能基于内部安全镜像仓库;禁止开发人员从公共网络直接下载镜像,而是维护一个安全的内部镜像仓库。开发团队和安全团队合作,建立和维护内部的镜像仓库。架构师、容器项目组和安全团队持续维护镜像库为最新版本,同时建立了开发人员请求新镜像的流程。\\ 
-2) 开发测试环境和生产环境所有依赖的统一管理:开发测试环境和生产环境的公开基础映像,统一由平台团队管理,开发团队在构建映像过程中可能用到的Java 开源组件依赖包统一由质量团队管理、需要进行升级和特定支持应用安全所需要的操作系统(centos,redhat)和相关应用包统一由安全团队管理。各团队在开发测试及生产环境专门搭建本地私用库(registry , nexus, yum),由固定服务器外连指定的少数可信源(官方或官方认证站点);\\ +  2) 开发测试环境和生产环境所有依赖的统一管理:开发测试环境和生产环境的公开基础映像,统一由平台团队管理,开发团队在构建映像过程中可能用到的Java 开源组件依赖包统一由质量团队管理、需要进行升级和特定支持应用安全所需要的操作系统(centos,redhat)和相关应用包统一由安全团队管理。各团队在开发测试及生产环境专门搭建本地私用库(registry , nexus, yum),由固定服务器外连指定的少数可信源(官方或官方认证站点);\\ 
-3) 从互联网Docker镜像仓库拉取镜像时,必须经过Docker安全扫描,确认无安全漏洞,才可以拉取到内部安全镜像仓库;\\ +  3) 从互联网Docker镜像仓库拉取镜像时,必须经过Docker安全扫描,确认无安全漏洞,才可以拉取到内部安全镜像仓库;\\ 
-4) 第三方开源组件入库时,触发开源组件安全扫描工具blackduck,进行已知CVE漏洞检测,如有漏洞则进行隔离和提示管理员,确定下一步操作,经过确认无安全漏洞的开源组件才可以入库。\\ +  4) 第三方开源组件入库时,触发开源组件安全扫描工具blackduck,进行已知CVE漏洞检测,如有漏洞则进行隔离和提示管理员,确定下一步操作,经过确认无安全漏洞的开源组件才可以入库。\\ 
-通过内部安全镜像仓库,避免了研发人员从互联网拉取带有安全漏洞的镜像到运行环境,从源头消除已知含有漏洞组件的使用,提高了容器安全性。\\ +  通过内部安全镜像仓库,避免了研发人员从互联网拉取带有安全漏洞的镜像到运行环境,从源头消除已知含有漏洞组件的使用,提高了容器安全性。\\ 
- +{{ :​service:​techmag:​201906_035:​2.rongqijingxianganquan.png |}} 
 +<WRAP centeralign> ​
 图2 容器镜像安全 图2 容器镜像安全
 +</​WRAP>​
 +
 ====3.4容器安全技术规范==== ====3.4容器安全技术规范====
   为保障容器的使用安全,提高开发人员对容器相关技术的应用水平,规范容器管理流程,结合现阶段容器的使用现状,制定了容器技术规范。技术规范的制定不仅对容器入门人员形成了明确指引,还在容器的安全使用方式上形成了安全规范。\\   为保障容器的使用安全,提高开发人员对容器相关技术的应用水平,规范容器管理流程,结合现阶段容器的使用现状,制定了容器技术规范。技术规范的制定不仅对容器入门人员形成了明确指引,还在容器的安全使用方式上形成了安全规范。\\
 ====3.5容器安全风险度量及可视化==== ====3.5容器安全风险度量及可视化====
   为了对项目组的容器安全风险进行度量及直观展示,从容器镜像的项目分布、安全漏洞、操作系统等纬度进行了可视化展示,便于项目组进行容器安全风险的持续监控及容器安全漏洞的修复。\\   为了对项目组的容器安全风险进行度量及直观展示,从容器镜像的项目分布、安全漏洞、操作系统等纬度进行了可视化展示,便于项目组进行容器安全风险的持续监控及容器安全漏洞的修复。\\
- + 
 +{{ :​service:​techmag:​201906_035:​3.rongqianquanfengxian.png |}} 
 +<WRAP centeralign> ​
 图3容器安全风险度量及可视化 图3容器安全风险度量及可视化
 +</​WRAP>​
 +
 ====3.6容器安全扫描工具自动化集成==== ====3.6容器安全扫描工具自动化集成====
-  DevOps核心价值是快速交付,所以需要把容器安全集成到DevOps流水线中,保证容器安全性的同时,提高容器安全交付速度。 +  DevOps核心价值是快速交付,所以需要把容器安全集成到DevOps流水线中,保证容器安全性的同时,提高容器安全交付速度。\\ 
-容器云平台目前已全面支持基于容器的CI/​CD流程。通过在流程的每一步设置check节点对版本进行安全控制。如下图所示:\\ +  容器云平台目前已全面支持基于容器的CI/​CD流程。通过在流程的每一步设置check节点对版本进行安全控制。如下图所示:\\ 
- +{{ :​service:​techmag:​201906_035:​4.rongqianquansaomiaoliucheng.png |}} 
 +<WRAP centeralign> ​
 图4 容器安全扫描流程 图4 容器安全扫描流程
 +</​WRAP>​
 +
   目前我们的容器云平台承载公司所有容器的CI/​CD,通过将容器云平台与容器安全扫描工具集成,在容器构建过程中融入安全要素,解决了镜像的安全问题,同时CI构建报告中直接集成容器安全扫描结果,提高了安全漏洞修复效率及易用性。\\   目前我们的容器云平台承载公司所有容器的CI/​CD,通过将容器云平台与容器安全扫描工具集成,在容器构建过程中融入安全要素,解决了镜像的安全问题,同时CI构建报告中直接集成容器安全扫描结果,提高了安全漏洞修复效率及易用性。\\
   目前我们生产环境的Docker主机均从公司内部私有Registry中提取生产镜像。当构建工具上传镜像到私有Registry后,容器安全扫描器会从该Registry中获取镜像的副本,实施安全测试。整个过程可分解为以下关键步骤:\\   目前我们生产环境的Docker主机均从公司内部私有Registry中提取生产镜像。当构建工具上传镜像到私有Registry后,容器安全扫描器会从该Registry中获取镜像的副本,实施安全测试。整个过程可分解为以下关键步骤:\\
-1) 当开发团队自动提交构建或构建触发器时,构建工具将从源代码控制工具中提取源代码;\\ +  1) 当开发团队自动提交构建或构建触发器时,构建工具将从源代码控制工具中提取源代码;\\ 
-2) 构建工具可以在构建过程中运行一些测试,当测试成功时,镜像将推送到企业私有Registry;\\ +  2) 构建工具可以在构建过程中运行一些测试,当测试成功时,镜像将推送到企业私有Registry;\\ 
-3) 容器安全扫描器从私有Registry获取相关容器镜像,分析元数据清单,安全分析;\\ +  3) 容器安全扫描器从私有Registry获取相关容器镜像,分析元数据清单,安全分析;\\ 
-4) Docker CI平台通过容器安全扫描器API接口获取扫描报告。\\+  4) Docker CI平台通过容器安全扫描器API接口获取扫描报告。\\
 ===== 四、容器安全的落地实践 ===== ===== 四、容器安全的落地实践 =====
   目前容器生产环境的项目已全部实现容器安全最佳实践,有效加强了容器安全,降低了容器使用过程中的风险,进一步保障了各应用生产环境的稳定性。\\   目前容器生产环境的项目已全部实现容器安全最佳实践,有效加强了容器安全,降低了容器使用过程中的风险,进一步保障了各应用生产环境的稳定性。\\
阅读
service/techmag/201906_035/03.1565779431.txt.gz · 最后更改: 2019/08/14 10:43 由 -