容器安全产品能力与架构分析
市场容器安全产品能力比较
市场上容器运行安全的产品和工具主要分为商业产品和开源工具,商业类的产品根据防护的侧重点不同分为通用的容器防护和容器网络的安全产品,但有些产品功能有交叉,很多产品的功能相似,其中NeuVector是较少涵盖网络安全和运行态安全方案的厂商。
| 通用的容器安全商用产品,侧重运行态容器的内部及对外部的攻击防护 | 侧重容器网络安全的商用产品,主要提供基于七层的安全检查和防护能力 | 开源或免费的工具,主要提供单独领域的安全防护功能 |
|---|---|---|
| -Aqua Security 、NeuVector StackRox、Sysdig、Tenable、Trend Micro、Twistlock、、VMware (AppDefense)、青藤 | NeuVector、vArmour、VMware NSX-T Data Center | Aporeto Trireme (微分段和工作负载的验证)、 Aqua Security Microscanner (软件成分分析)、Aqua Security Kube-Bench (CIS Kubernetes benchmark扫描… |
开源工具安全能力分布
容器运行态安全产品能力对比
对比数据来源于Gartner
上述主要对比了容器安全相对成熟的厂商商业产品,目前商用产品都在扩展其覆盖容器安全的领域,包括镜像扫描、合规扫描、运行态安全、网络安全、审计、密钥管理等。其他大多数厂商的产品也都支持对容器内部的安全检测和防护,其中的主要差异一是机器学习的能力,个别厂家不支持,二是否内建WAF防护规则,三是事件的响应能力,包括阻止容器对文件和网络的访问。其中Neuvector不能对容器文件的访问执行阻止,但Neuvector可以捕获网络包执行过滤分析,可以实现七层的安全防护。
除了Aqua、TwsitLock、Neuvector三家功能相对完善之外,其他几家中Stackrox缺失了对主机内核架构的集成配置,但运行态的安全防护功能比较完整,也能支持基于容器身份的隔离和分区;Sysdig Secure运行态不支持恶意软件扫描,不能阻止容器对文件或网络的违规访问,但可以执行系统内核加固和提供包捕获功能;Tenable和Trend Micro功能相对较少。
架构能力比较分析
容器运行态的安全防护主要依赖于防护客户端,主要的部署架构如以下几种:
- 平行容器,为原生模式,可以通过K8S编排和部署,采用超级权限容器模式。WAF防火墙、非入侵式的入侵防护均采用此类模式,优点是无需对原有的容器进行修改和调整,可按需部署。
- 主机客户端执行安全扫描,在容器节点主机层安装客户端,可进行数据收集,上传到服务器进行
- 分析,此模式部署拥有较高的主机权限,可以扫描存储在主机节点上的容器镜像、主机系统的安全漏洞和恶意软件扫描,将节点的主机安全和容器安全同时考虑。
- 主机客户端拦截异常操作,部署模式与第二种相同,但拥有了OS的内核功能,具有拦截和修改系统调用、执行网络监控管理、拦截调用runC的操作等权限,因此,具备了建立容器视图、检测和阻止异常行为的能力。
- 以SideCar模式将防护客户端部署在应用Pod中,跟随着应用部署,优点是安全防护能力与应用的扩展而扩展,但需要考虑SideCar的资源消耗问题。
- 目前业界产品主要采用前三种模式的混合部署,有些产品暂不具备第2种或第3种能力,导致容器内部的检测和防护能力偏弱。
网络安全防护能力分析
- 网络安全防护能力主要体现在网络分段和隔离,可通过CNI插件实现基于IP和端口实现分段,由于容器的IP地址不断变化,且会在不同的VM上漂移,很难基于网络层进行有效的划分和部署访问控制策略。K8S网络安全策略提供了基于namespace和标签的方式执行访问控制和隔离,但其采用Namespace进行隔离,存在策略的粒度控制难以与Namespace对应,造成管理繁琐,另外缺乏可管理性、可见性和监控。在集群内部进行分段和隔离对于尤其是限制攻击的爆炸半径有很大帮助。
目前提供网络隔离的产品如NeuVector和开源的Cilium,以容器标签或基于应用层的协议在容器建立基于七层的隔离和分段,因此可以跨集群实施分段规则。通过微隔离方式,也有助于减轻在主机上混合部署不同级别容器的安全风险。由于需要执行应用层的访问控制和深度的包检测,其他通用厂家未提供该功能,网络安全功能的启用也将会在每个节点消耗约10%的CPU资源。
异常检测的能力分析
- 不同容器提供服务的类型不同,数据库服务和Web服务容器的访问关系和进程调用有很大差异,通过机器学习的方式建立规则是目前主要的一种方式,Twistlock是首先引入了机器学习模式的产品,目前很多产品如Aqua等都已支持这种模式,通过在运行态时学习容器的进程网络访问模式、系统调用模式等自动建立起规则以白名单方式执行,如果容器的行为超出白名单中的定义范围,则触发告警或阻断操作。管理员可在控制台查看安全事件,找出违规的进程或行为进行分析,找出可能的攻击源头。通过这种方式可以有效阻止零日攻击和特权用户的滥用。
- 由于机器学习和建立的规则很多情况不可见,很难判断机器学习能力的好坏,建议在具体使用此能力前,需进行更多的测试和深入了解其规则引擎,并可以混合模式,基于预定义的规则定义基线,避免可能造成生产环境中造成可能的正常访问无法执行的风险。
数据泄漏检测能力分析
- 数据防泄漏能力在云中是重要的安全能力之一,基于网络的容器DLP需要应用层的深度包检测能力,检查网络负载中是否包含敏感的数据。其中NeuVector可以基于七层的包过滤,在其WAF上导入DLP正则表达式实现敏感数据的检测,可告警和阻断。其他产品如Twistlock没有网络DLP的类似功能。
容器安全使用总结和建议
容器的安全应结合自身容器的生命周期和云原生的整体生态建设,可结合现有的和缺失的安全能力以及可管理的角度统一考虑,主要评估的内容包括:
- 镜像扫描能力与现有漏洞扫描的比较和以适当的方式协作;
- 网络安全隔离和策略管理与SDN CNI插件的协作和分工;
- 安全功能开启对计算资源的占用,需结合网格服务推广使用,总体评估安全服务的计算资源占用对业务的影响;
- 外部入侵和攻击防护能力是包括国内厂家均满足的功能,需评估规则配置的易用性和可维护性;
- 审计能力需评估数据导出的能力,是否可与外部分析系统方便集成;
- 需评估产品安全能力的是否提供服务化的接口,便于与未来的策略管理平台或系统对接。
752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
