{"id":248781,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=248781"},"modified":"2023-06-19T03:59:32","modified_gmt":"2023-06-19T00:59:32","slug":"konteinereid-on-koikjal-kuidas-neid-kaitsta","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/et\/konteinereid-on-koikjal-kuidas-neid-kaitsta\/","title":{"rendered":"Konteinereid on k\u00f5ikjal: kuidas neid kaitsta?"},"content":{"rendered":"\n

Konteinerite arv kasvab iga p\u00e4evaga ja n\u00e4ib olevat k\u00f5ikjal, kuna organisatsioonid soovivad saada palju eeliseid, mida need pakuvad, nagu agiilne rakenduste arendamine ja juurutamine<\/strong> k\u00f5igil platvormidel.<\/p>\n

Paljud usuvad ka, et konteinerite kasutamine v\u00f5ib aidata neil nende l\u00fchiealisuse t\u00f5ttu turvapiiranguid minimeerida. Kas see on t\u00f5si v\u00f5i lihtsalt j\u00e4rjekordne v\u00e4\u00e4rarusaam?<\/p>\n

Kuigi konteineritel ei ole loomup\u00e4rast ebaturvalisust, kasutatakse neid sageli ebaturvaliselt, mis toob kaasa arvukalt turvaprobleeme.<\/p>\n

Turvaprobleemid konteinerite juurutamisel<\/h2>\n

Kasutusele v\u00f5etud konteinerite suur hulk, mitmek\u00fclgsus ja l\u00fchiajaline olek ning asjaolu, et konteinerid peavad suhtlema teiste \u00fcksustega, viivad selleni, et organisatsioonidel ei ole v\u00f5imalik omada piisavat konteineritevahelise liikluse n\u00e4htavust.<\/p>\n

T\u00e4nu sellisele n\u00e4htavuse puudumisele unustatakse konteinerid sageli ning sissetungimise ennetamise meetmed ja turvakontrollid muutuvad ebat\u00f5husaks, suurendades r\u00fcnnaku pinda ja seega ka \u00fcldist \u00e4ririski. Lisaks v\u00f5ib v\u00e4hene n\u00e4htavus kaasa tuua vastutuse nappuse, kuna konteinerid l\u00e4bivad arendusest tootmiseni erinevaid keskkondi.<\/p>\n

Teine konteineritega seotud turvaprobleem on n\u00f5rk haavatavuse haldamine. N\u00e4iteks olemasolevate piltide kloonimisel uute konteinerite loomiseks kopeeritakse ka nende haavatavused.<\/p>\n

See r\u00f5hutab vajadust, et turvalisus oleks organisatsiooni konteineristrateegia lahutamatu osa<\/a>. Vastasel juhul v\u00f5ivad konfiguratsioonivead ja puuduvad paigad olla tootmiskeskkondades volitamata piltide juurutamise ja k\u00e4ivitamise p\u00f5hjuseks, mis suurendab r\u00fcnnakute pinda ja edukamaid r\u00fcnnakuid.<\/p>\n

L\u00f5puks, kuna konteinerid kasutavad jagatud OS-i tuuma, v\u00f5ib hosti OS-i kerneli kompromiteerimine v\u00f5ltskonteineri poolt kaasa tuua juurdep\u00e4\u00e4su kaotamise k\u00f5igile v\u00f5i mis tahes<\/a> hostis t\u00f6\u00f6tavatele konteineritele, nagu ka potentsiaalselt teistele v\u00f5rgu hostidele.<\/p>\n

Kuidas oma konteinereid kinnitada<\/h2>\n

V\u00f5ib-olla on konteinerkeskkonna kaitsmise parim tava selle tegemise vajaduse tunnistamine. Kui see p\u00f5hikontseptsioon v\u00e4lja arvata, on konteinerite t\u00f5husaks kinnitamiseks j\u00e4rgida m\u00f5nda head n\u00f5u.<\/p>\n

Olge oma konteineritesse n\u00e4htav<\/h2>\n

Enne konteineri juurutamist veenduge, et m\u00f5istaksite selle s\u00f5ltuvusi ja selle sisu. Tagamaks, et teie konteinerikujutised oleksid puutumatud, peate saavutama n\u00e4htavuse igal etapil alates arendusest kuni tootmiseni.<\/p>\n

Mahuti tarkvara mitte usaldamine on suurep\u00e4rane l\u00e4htepunkt. Peate seda v\u00e4ga p\u00f5hjalikult kontrollima, et m\u00f5ista, kust need p\u00e4rinevad, kuidas need on toodetud ja nende vastavad allikad, nagu m\u00e4rkis Dirk Hohndel, VMware asepresident 2019 aasta avatud l\u00e4htekoodiga juhtimise tippkohtumisel<\/a>.<\/p>\n

L\u00fchidalt, kontrollige oma konteinerite sisu enne nende juurutamist \u00fcle ja \u00e4rge kunagi k\u00e4ivitage tundmatu v\u00f5i vananenud tarkvaraga konteinerit. See, et konteineri kujutis v\u00e4idetavalt sisaldab uusimaid ja parimaid programme ja teeke, ei t\u00e4henda, et see seda tegelikult sisaldab.<\/p>\n

\u00dcks viis selle probleemi leevendamiseks on kasutada rakendusi, mis aitavad teil konteinereid puhastada<\/a>. Kuigi mulle ei meeldi ratast uuesti leiutada, on v\u00f5ib-olla parim viis l\u00f5petada teiste inimeste konteinerpiltide kasutamine.<\/p>\n

Kui sina, nagu Hercules, l\u00e4hed Virtue'i raskemale teele ja hakkad oma konteinerikujutisi ehitama, m\u00f5istad konteinerites toimuvat palju paremini, millel on lisaks turvalisusele ka eeliseid.<\/p>\n

Juurjuurdep\u00e4\u00e4su juhtimine<\/h2>\n

Enamik konteinereid on vaikimisi loodud juurjuurdep\u00e4\u00e4suga. See on aga k\u00fcsitav praktika. Kuigi arendajatel on lihtsam kasutada konteinereid juurjuurdep\u00e4\u00e4suga, kaasnevad juurjuurdep\u00e4\u00e4suga tohutud riskid.<\/p>\n

Selle probleemi lahendamiseks on mitu l\u00e4henemisviisi. \u00dcks v\u00f5imalus on kindlaks teha ettev\u00f5tte poliitika, et \u00fchelgi konteineril pole kunagi lubatud root kasutajana t\u00f6\u00f6tada. Alternatiivne viis on kasutada v\u00e4hima privileegi p\u00f5him\u00f5tet. Konteinerpildi loomisel saate Dockerfile'is m\u00e4\u00e4rata mittejuurkasutaja, kes k\u00e4itab konteinerit selle konkreetse kasutajana, kellel on minimaalne n\u00f5utav juurdep\u00e4\u00e4s s\u00fcsteemile.<\/p>\n

L\u00f5puks saate konteinerite kaitsmiseks kasutada ka privilegeeritud konteineriprotsesside k\u00e4itamisel kasutajanimeruumi .<\/a> Selle meetodi puhul on konteineris nende protsesside k\u00e4itamiseks UID null (mis on juur), kuid v\u00e4ljaspool konteinerit on UID privilegeerimata 1000.<\/p>\n

Kontrollige konteineri t\u00f6\u00f6aega<\/h2>\n

Riikliku standardite ja tehnoloogia instituudi (NIST) SP 800-190 " Rakenduskonteinerite<\/a> turbejuhend " juhib t\u00e4helepanu sellele, et ka konteinerite k\u00e4itusajad on r\u00fcnnakute suhtes haavatavad. Kuigi see ei ole tavaline turval\u00fcnk, juhib NIST t\u00e4helepanu sellele, et konteineri k\u00e4itusaegsed turvan\u00f5rkused v\u00f5ivad olla \u201e eriti ohtlikud<\/strong> ", kui need v\u00f5imaldavad stsenaariume, mille korral pahatahtlik tarkvara v\u00f5ib r\u00fcnnata teiste konteinerite ressursse ja hosti OS-i ennast.<\/p>\n

R\u00fcndaja v\u00f5ib samuti olla v\u00f5imeline turvaauke \u00e4ra kasutama, et kahjustada k\u00e4itusaegset tarkvara ja seej\u00e4rel muuta seda tarkvara nii, et see v\u00f5imaldaks r\u00fcndajal p\u00e4\u00e4seda juurde teistele konteineritele, j\u00e4lgida konteineritevahelist sidet jne.<\/p>\n

Turvaprobleemid on k\u00e4itusaja konfiguratsioonide puhul palju tavalisemad. Konteinerite k\u00e4itusajad pakuvad tavaliselt palju konfigureeritavaid valikuid. Nende vale seadistamine v\u00f5ib v\u00e4hendada s\u00fcsteemi suhtelist turvalisust.<\/p>\n

N\u00e4iteks<\/strong> Linuxi konteineri hostides on lubatud s\u00fcsteemikutsete hulk sageli vaikimisi piiratud ainult nendega, mis on vajalikud konteinerite ohutuks kasutamiseks. Kui seda loendit laiendatakse, v\u00f5ib see ohustada konteinereid ja hosti OS-i ohustatud konteineri t\u00f5ttu.<\/p>\n

Samamoodi, kui konteinerit k\u00e4itatakse privilegeeritud re\u017eiimis, on sellel juurdep\u00e4\u00e4s k\u00f5igile hosti seadmetele, mis v\u00f5imaldab tal sisuliselt toimida hosti OS-i osana ja m\u00f5jutada k\u00f5iki teisi sellel t\u00f6\u00f6tavaid konteinereid.<\/p>\n

Teine n\u00e4ide ebaturvalisest k\u00e4itusaja konfiguratsioonist on lubada konteineritel hosti \u00fchendada tundlikke katalooge. Kui ohustatud konteiner suudab neid teid muuta, v\u00f5ib seda kasutada \u00f5iguste t\u00f5stmiseks ja hosti enda ja ka teiste hostis t\u00f6\u00f6tavate konteinerite r\u00fcndamiseks.<\/p>\n

Karmistage operatsioonis\u00fcsteemi<\/h2>\n

NIST soovitab kasutada ka konteinerip\u00f5hist operatsioonis\u00fcsteemi,<\/a> kuna ohud on tavaliselt minimaalsemad, kuna operatsioonis\u00fcsteemid on spetsiaalselt loodud konteinerite majutamiseks ning muud teenused ja funktsioonid on keelatud.<\/p>\n

Lisaks, kuna need optimeeritud OS-id on loodud spetsiaalselt konteinerite majutamiseks, sisaldavad nad tavaliselt kirjutuskaitstud failis\u00fcsteeme ja kasutavad vaikimisi muid k\u00f5vastusmeetodeid. Kui v\u00e4hegi v\u00f5imalik, peaksid organisatsioonid kasutama neid minimalistlikke OS-e, et v\u00e4hendada oma r\u00fcndepinda ja leevendada tavalisi riske ja \u00fcldiste OS-idega seotud tegevusi.<\/p>\n

Organisatsioonid, mis ei saa kasutada konteinerispetsiifilist OS-i, peaksid j\u00e4rgima NIST SP 800-123, \u00dcldise serveriturbe juhendi<\/a> juhiseid, et v\u00e4hendada oma hostide r\u00fcnnakupinda nii palju kui v\u00f5imalik.<\/p>\n

N\u00e4iteks<\/strong> peaksid konteinereid k\u00e4itavad hostid k\u00e4itama ainult konteinereid, mitte aga muid rakendusi, nagu veebiserver v\u00f5i andmebaas, v\u00e4ljaspool konteinereid. Host OS ei tohiks k\u00e4ivitada tarbetuid s\u00fcsteemiteenuseid, nagu prindispuuler, mis suurendab selle r\u00fcnnakupinda.<\/p>\n

L\u00f5puks tuleks hoste pidevalt turvaaukude tuvastamiseks skannida ja v\u00e4rskendusi kiiresti rakendada, mitte ainult konteineri k\u00e4itusajal, vaid ka madalama taseme komponentidele, nagu kernel, millele konteinerid turvaliseks ja lahterdatud t\u00f6\u00f6ks tuginevad.<\/p>\n

Konteinerite turvalisus on esmat\u00e4htis<\/h2>\n

Kuna \u00fcha rohkem ettev\u00f5tteid v\u00f5tab konteinereid kasutusele ja juurutab, on nende turvalisus saamas ettev\u00f5tte peamiseks prioriteediks. Hiljutise uuringu<\/a> kohaselt on 94%<\/strong> vastanutest oma konteinerikeskkonnas turvaintsidente kogenud. See r\u00f5hutab ainult seda, kui oluline on saada konteineri turva\u00f5igused teie ettev\u00f5tte ja klientide kaitsmiseks.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Konteinerite arv kasvab iga p\u00e4evaga ja n\u00e4ib olevat k\u00f5ikjal, kuna organisatsioonid soovivad saada palju eeliseid, mida need pakuvad, nagu agiilne rakenduste arendamine ja juurutamine k\u00f5igil platvormidel.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8588,8435,8476],"tags":[],"class_list":["post-248781","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mitmesugust","category-vpn-arvutitele","category-vpn-ja-privaatsus"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/posts\/248781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/comments?post=248781"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/posts\/248781\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/media?parent=248781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/categories?post=248781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/et\/wp-json\/wp\/v2\/tags?post=248781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}