{"id":248701,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=248701"},"modified":"2023-06-19T03:59:33","modified_gmt":"2023-06-19T00:59:33","slug":"kontteja-on-kaikkialla-kuinka-suojaat-ne","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/fi\/kontteja-on-kaikkialla-kuinka-suojaat-ne\/","title":{"rendered":"Kontteja on kaikkialla: kuinka suojaat ne?"},"content":{"rendered":"\n

Konttien m\u00e4\u00e4r\u00e4 kasvaa p\u00e4iv\u00e4 p\u00e4iv\u00e4lt\u00e4 ja n\u00e4ytt\u00e4\u00e4 olevan kaikkialla, kun organisaatiot haluavat hy\u00f6ty\u00e4 niiden tarjoamista monista eduista, kuten ketter\u00e4st\u00e4 sovellusten kehitt\u00e4misest\u00e4 ja k\u00e4ytt\u00f6\u00f6notosta<\/strong> kaikilla alustoilla.<\/p>\n

Monet uskovat my\u00f6s, ett\u00e4 konttien k\u00e4ytt\u00f6 voi auttaa heit\u00e4 minimoimaan turvarajoituksia niiden lyhyen k\u00e4ytt\u00f6i\u00e4n vuoksi. Onko t\u00e4m\u00e4 totta vai vain yksi v\u00e4\u00e4rink\u00e4sitys?<\/p>\n

Vaikka konteissa ei ole luontaisia \u200b\u200bep\u00e4varmuustekij\u00f6it\u00e4, niit\u00e4 k\u00e4ytet\u00e4\u00e4n usein ep\u00e4turvallisella tavalla, mik\u00e4 johtaa lukuisiin tietoturvahaasteisiin.<\/p>\n

Tietoturvahaasteita s\u00e4ili\u00f6it\u00e4 otettaessa<\/h2>\n

K\u00e4ytettyjen konttien valtava m\u00e4\u00e4r\u00e4, monipuolisuus ja lyhytaikainen tila sek\u00e4 se, ett\u00e4 konttien on kommunikoitava muiden yksik\u00f6iden kanssa, johtavat siihen, ett\u00e4 organisaatioilla ei ole kyky\u00e4 omistaa riitt\u00e4v\u00e4\u00e4 konttien v\u00e4list\u00e4 liikenteen n\u00e4kyvyytt\u00e4.<\/p>\n

N\u00e4kyvyyden puutteen ansiosta kontit usein unohdetaan, ja tunkeutumisen ehk\u00e4isytoimenpiteet ja turvatarkastukset tulevat tehottomiksi, mik\u00e4 lis\u00e4\u00e4 hy\u00f6kk\u00e4yspinta-alaa ja siten koko liiketoimintariski\u00e4. Lis\u00e4ksi n\u00e4kyvyyden puute voi johtaa vastuullisuuden niukkuuteen, kun kontit kulkevat eri ymp\u00e4rist\u00f6iss\u00e4 kehitysvaiheesta tuotantoon.<\/p>\n

Toinen kontteihin liittyv\u00e4 turvallisuushaaste on heikko haavoittuvuuksien hallinta. Esimerkiksi kloonattaessa olemassa olevia kuvia uusien s\u00e4ili\u00f6iden luomiseksi, my\u00f6s niiden haavoittuvuudet replikoituvat.<\/p>\n

T\u00e4m\u00e4 korostaa tarvetta turvallisuuden olla olennainen osa organisaation konttistrategiaa<\/a>. Muuten m\u00e4\u00e4ritysvirheet ja puuttuvat korjaustiedostot voivat olla syyn\u00e4 luvattomien kuvien k\u00e4ytt\u00f6\u00f6notolle ja suorittamiselle tuotantoymp\u00e4rist\u00f6iss\u00e4, mik\u00e4 lis\u00e4\u00e4 hy\u00f6kk\u00e4yspinta-alaa ja onnistuneempia hy\u00f6kk\u00e4yksi\u00e4.<\/p>\n

Lopuksi, koska s\u00e4il\u00f6iss\u00e4 k\u00e4ytet\u00e4\u00e4n jaettua k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4ydint\u00e4, is\u00e4nt\u00e4k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n ytimen vaarantaminen v\u00e4\u00e4r\u00e4n s\u00e4il\u00f6n toimesta voi johtaa p\u00e4\u00e4syn menett\u00e4miseen kaikkiin tai kaikkiin<\/a> is\u00e4nt\u00e4koneen k\u00e4ynniss\u00e4 oleviin s\u00e4il\u00f6ihin samoin kuin mahdollisesti muihin verkon is\u00e4nteihin.<\/p>\n

Kuinka kiinnit\u00e4t s\u00e4ili\u00f6si<\/h2>\n

Ehk\u00e4 paras k\u00e4yt\u00e4nt\u00f6 konttiymp\u00e4rist\u00f6si turvaamiseksi on sen v\u00e4ltt\u00e4m\u00e4tt\u00f6myyden tunnustaminen. T\u00e4t\u00e4 peruskonseptia lukuun ottamatta on joitain hyvi\u00e4 neuvoja noudatettava konttisi tehokkaaseen suojaamiseen.<\/p>\n

N\u00e4kyvyys kontteihisi<\/h2>\n

Ennen kuin otat kontin k\u00e4ytt\u00f6\u00f6n, varmista, ett\u00e4 ymm\u00e4rr\u00e4t sen riippuvuudet ja sen sis\u00e4ll\u00f6n. Varmistaaksesi, ett\u00e4 konttikuvasi ovat koskemattomia, sinun on saatava n\u00e4kyvyytt\u00e4 jokaisessa vaiheessa kehityksest\u00e4 tuotantoon.<\/p>\n

S\u00e4il\u00f6n ohjelmistoon luottaminen on hyv\u00e4 l\u00e4ht\u00f6kohta. Sinun on tarkistettava se eritt\u00e4in perusteellisesti ymm\u00e4rt\u00e4\u00e4ksesi "mist\u00e4 ne ovat per\u00e4isin, kuinka ne on tuotettu ja niit\u00e4 vastaavat l\u00e4hteet", kuten Dirk Hohndel, VMwaren varapuheenjohtaja, huomautti vuoden 2019 Open Source Leadership Summitissa<\/a>.<\/p>\n

Lyhyesti sanottuna, tarkista s\u00e4ili\u00f6iden sis\u00e4lt\u00f6 ennen niiden k\u00e4ytt\u00f6\u00f6nottoa \u00e4l\u00e4k\u00e4 koskaan k\u00e4yt\u00e4 s\u00e4il\u00f6\u00e4 tuntemattomilla tai vanhentuneilla ohjelmistoilla. Se, ett\u00e4 s\u00e4il\u00f6n kuva v\u00e4itt\u00e4\u00e4 sis\u00e4lt\u00e4v\u00e4n uusimmat ja parhaat ohjelmat ja kirjastot, ei tarkoita, ett\u00e4 se todella sis\u00e4lt\u00e4\u00e4.<\/p>\n

Yksi tapa lievent\u00e4\u00e4 t\u00e4t\u00e4 ongelmaa on k\u00e4ytt\u00e4\u00e4 sovelluksia, jotka voivat auttaa sinua siivoamaan s\u00e4ili\u00f6si<\/a>. Vaikka en pid\u00e4k\u00e4\u00e4n py\u00f6r\u00e4n keksimisest\u00e4 uudelleen, ehk\u00e4 paras tapa on lopettaa muiden ihmisten konttikuvien k\u00e4ytt\u00f6.<\/p>\n

Jos sin\u00e4, aivan kuten Hercules, valitset hyveen vaikeamman tien ja alat rakentaa omia konttikuviasi, ymm\u00e4rr\u00e4t paljon paremmin, mit\u00e4 konteissa tapahtuu, mist\u00e4 on etuja turvallisuuden lis\u00e4ksi.<\/p>\n

Hallitse p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeuksia<\/h2>\n

Useimmat s\u00e4il\u00f6ist\u00e4 on oletuksena rakennettu p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeuksin. T\u00e4m\u00e4 on kuitenkin kyseenalainen k\u00e4yt\u00e4nt\u00f6. Vaikka kehitt\u00e4jien on helpompi k\u00e4ytt\u00e4\u00e4 s\u00e4ili\u00f6it\u00e4 p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n\u00e4, p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeuksiin liittyy valtavia riskej\u00e4.<\/p>\n

T\u00e4m\u00e4n ongelman ratkaisemiseksi on useita l\u00e4hestymistapoja. Yksi tapa on varmistaa yrityksen k\u00e4yt\u00e4nt\u00f6, ett\u00e4 yksik\u00e4\u00e4n s\u00e4il\u00f6 ei saa koskaan toimia p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n\u00e4. Vaihtoehtoinen tapa on k\u00e4ytt\u00e4\u00e4 v\u00e4hiten etuoikeusperiaatetta. Voit m\u00e4\u00e4ritt\u00e4\u00e4 Docker-tiedostossa ei-root-k\u00e4ytt\u00e4j\u00e4n, kun luot s\u00e4il\u00f6n kuvan, suorittamaan s\u00e4il\u00f6\u00e4 kyseisen\u00e4 k\u00e4ytt\u00e4j\u00e4n\u00e4, jolla on v\u00e4himm\u00e4isvaatimukset j\u00e4rjestelm\u00e4lle.<\/p>\n

Lopuksi voit my\u00f6s k\u00e4ytt\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4n nimiavaruutta ajaessasi<\/a> etuoikeutettuja s\u00e4il\u00f6prosesseja suojattujen s\u00e4il\u00f6jen auttamiseksi. T\u00e4ll\u00e4 menetelm\u00e4ll\u00e4 n\u00e4iden prosessien suorittamisen UID s\u00e4il\u00f6n sis\u00e4ll\u00e4 on nolla (joka on juuri), mutta s\u00e4il\u00f6n ulkopuolella UID on etuoikeutettu 1000.<\/p>\n

Tarkista s\u00e4il\u00f6n k\u00e4ytt\u00f6aika<\/h2>\n

National Institute of Standards and Technologyn (NIST) SP 800-190 " Application Container Security Guide<\/a> " huomauttaa, ett\u00e4 my\u00f6s kontin ajonajat ovat alttiina hy\u00f6kk\u00e4yksille. Vaikka t\u00e4m\u00e4 ei ole yleinen tietoturvavaje, NIST huomauttaa, ett\u00e4 kontin ajonaikaiset tietoturvahaavoittuvuudet voivat olla " erityisen vaarallisia<\/strong> ", jos ne sallivat skenaariot, joissa haittaohjelmat voivat hy\u00f6k\u00e4t\u00e4 muiden s\u00e4ili\u00f6iden resursseihin ja itse is\u00e4nt\u00e4k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4\u00e4n.<\/p>\n

Hy\u00f6kk\u00e4\u00e4j\u00e4 voi my\u00f6s pysty\u00e4 hy\u00f6dynt\u00e4m\u00e4\u00e4n haavoittuvuuksia vaarantaakseen itse ajonaikaisen ohjelmiston ja sitten muuttaa ohjelmistoa siten, ett\u00e4 se antaa hy\u00f6kk\u00e4\u00e4j\u00e4lle p\u00e4\u00e4syn muihin s\u00e4il\u00f6ihin, valvoa s\u00e4ili\u00f6iden v\u00e4list\u00e4 viestint\u00e4\u00e4 jne.<\/p>\n

Suojausongelmat ovat paljon yleisempi\u00e4 ajonaikaisissa kokoonpanoissa. S\u00e4il\u00f6n suoritusajat tarjoavat yleens\u00e4 monia m\u00e4\u00e4ritett\u00e4vi\u00e4 vaihtoehtoja. Niiden v\u00e4\u00e4r\u00e4 asetus voi heikent\u00e4\u00e4 j\u00e4rjestelm\u00e4n suhteellista turvallisuutta.<\/p>\n

Esimerkiksi<\/strong> Linux-s\u00e4il\u00f6is\u00e4nniss\u00e4 sallittujen j\u00e4rjestelm\u00e4kutsujen joukko rajoitetaan usein oletusarvoisesti vain niihin, joita tarvitaan s\u00e4ili\u00f6iden turvalliseen k\u00e4ytt\u00f6\u00f6n. Jos t\u00e4t\u00e4 luetteloa laajennetaan, se voi altistaa s\u00e4il\u00f6t ja is\u00e4nt\u00e4k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n vaarantuneen s\u00e4il\u00f6n aiheuttamalle riskille.<\/p>\n

Vastaavasti, jos s\u00e4il\u00f6\u00e4 ajetaan etuoikeutetussa tilassa, sill\u00e4 on p\u00e4\u00e4sy kaikkiin is\u00e4nt\u00e4koneen laitteisiin, jolloin se voi olennaisesti toimia osana is\u00e4nt\u00e4k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4\u00e4 ja vaikuttaa kaikkiin muihin siin\u00e4 k\u00e4ynniss\u00e4 oleviin s\u00e4il\u00f6ihin.<\/p>\n

Toinen esimerkki turvattomasta ajonaikaisesta m\u00e4\u00e4rityksest\u00e4 on se, ett\u00e4 s\u00e4ili\u00f6iden sallitaan liitt\u00e4\u00e4 arkaluontoisia hakemistoja is\u00e4nt\u00e4\u00e4n. Jos vaarantunut s\u00e4il\u00f6 voi tehd\u00e4 muutoksia n\u00e4ihin polkuihin, sit\u00e4 voidaan k\u00e4ytt\u00e4\u00e4 oikeuksien nostamiseen ja hy\u00f6k\u00e4t\u00e4kseen itse is\u00e4nt\u00e4\u00e4n sek\u00e4 muihin koneessa py\u00f6riviin s\u00e4il\u00f6ihin.<\/p>\n

Koveta k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4<\/h2>\n

NIST suosittelee my\u00f6s konttikohtaisen k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n k\u00e4ytt\u00e4mist\u00e4,<\/a> koska uhat ovat yleens\u00e4 v\u00e4h\u00e4isempi\u00e4, koska k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4t on suunniteltu erityisesti is\u00e4nn\u00f6im\u00e4\u00e4n s\u00e4il\u00f6j\u00e4 ja muut palvelut ja toiminnot on poistettu k\u00e4yt\u00f6st\u00e4.<\/p>\n

Lis\u00e4ksi, koska n\u00e4m\u00e4 optimoidut k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4t on suunniteltu erityisesti s\u00e4il\u00f6jen is\u00e4nn\u00f6intiin, niiss\u00e4 on tyypillisesti vain luku -tiedostoj\u00e4rjestelm\u00e4t ja oletusarvoisesti muita kovetusk\u00e4yt\u00e4nt\u00f6j\u00e4. Aina kun mahdollista, organisaatioiden tulisi k\u00e4ytt\u00e4\u00e4 n\u00e4it\u00e4 minimalistisia k\u00e4ytt\u00f6j\u00e4rjestelmi\u00e4 v\u00e4hent\u00e4\u00e4kseen hy\u00f6kk\u00e4yspintojaan ja lievent\u00e4\u00e4kseen yleisk\u00e4ytt\u00f6isiin k\u00e4ytt\u00f6j\u00e4rjestelmiin liittyvi\u00e4 tyypillisi\u00e4 riskej\u00e4 ja kovettuvia toimia.<\/p>\n

Organisaatioiden, jotka eiv\u00e4t voi k\u00e4ytt\u00e4\u00e4 s\u00e4il\u00f6kohtaista k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4\u00e4, tulee noudattaa NIST SP 800-123:n, Guide to General Server Security -oppaan<\/a> ohjeita, jotta he voivat v\u00e4hent\u00e4\u00e4 is\u00e4ntiens\u00e4 hy\u00f6kk\u00e4yspintaa mahdollisimman paljon.<\/p>\n

Esimerkiksi<\/strong> s\u00e4il\u00f6j\u00e4 suorittavien is\u00e4ntien tulee suorittaa vain s\u00e4il\u00f6j\u00e4, eiv\u00e4tk\u00e4 muita sovelluksia, kuten verkkopalvelinta tai tietokantaa, s\u00e4il\u00f6jen ulkopuolella. Is\u00e4nt\u00e4k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4 ei saa k\u00e4ytt\u00e4\u00e4 tarpeettomia j\u00e4rjestelm\u00e4palveluita, kuten taustatulostusta, joka lis\u00e4\u00e4 sen hy\u00f6kk\u00e4yspintaa.<\/p>\n

Lopuksi is\u00e4nti\u00e4 tulee jatkuvasti tarkistaa haavoittuvuuksien varalta, ja p\u00e4ivitykset on asennettava nopeasti, ei vain s\u00e4il\u00f6n ajon aikana, vaan my\u00f6s alemman tason komponentteihin, kuten ytimeen, johon s\u00e4ili\u00f6t luottavat turvallisessa, lokeroidussa toiminnassaan.<\/p>\n

Konttien turvallisuus on ykk\u00f6sprioriteetti<\/h2>\n

Yh\u00e4 useammat yritykset ottavat k\u00e4ytt\u00f6\u00f6n ja ottavat k\u00e4ytt\u00f6\u00f6n kontteja, joten niiden turvallisuudesta on tulossa liiketoiminnan t\u00e4rkein prioriteetti. Tuoreen tutkimuksen<\/a> mukaan 94 %<\/strong> vastaajista on kokenut turvallisuush\u00e4iri\u00f6n konttiymp\u00e4rist\u00f6ss\u00e4\u00e4n. T\u00e4m\u00e4 vain korostaa, kuinka t\u00e4rke\u00e4\u00e4 on hankkia kontin suojausoikeudet yrityksesi ja asiakkaidesi suojaamiseksi.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Konttien m\u00e4\u00e4r\u00e4 kasvaa p\u00e4iv\u00e4 p\u00e4iv\u00e4lt\u00e4 ja n\u00e4ytt\u00e4\u00e4 olevan kaikkialla, kun organisaatiot haluavat hy\u00f6ty\u00e4 niiden tarjoamista monista eduista, kuten ketter\u00e4st\u00e4 sovellusten kehitt\u00e4misest\u00e4 ja k\u00e4ytt\u00f6\u00f6notosta kaikilla alustoilla.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8589,8477,8436],"tags":[],"class_list":["post-248701","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sekalaista","category-vpn-ja-yksityisyys","category-vpn-tietokoneille"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts\/248701","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/comments?post=248701"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/posts\/248701\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/media?parent=248701"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/categories?post=248701"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/fi\/wp-json\/wp\/v2\/tags?post=248701"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}