案例概要
某企业是一家知名的互联网公司,专注于智能终端产品的研发,拥有近3,000名员工,其旗下的主打应用程序月活量超过1亿,致力于为全国用户提供多样化的科技服务。
在互联网圈,产品迭代次数极其频繁,业务更新速度快,为了确保业务稳定性,该企业另辟蹊径,部署了超过130,000多个容器,以应对快速增长的业务量,逐步走向云原生化。
现实挑战
云原生环境下,互联网的基础设施保护依然重要,其安全保障若不到位,会使用户数据面临重大风险。容器是在云上提供弹性应用程序的新一代基础设施,基于镜像而运行,镜像如果受到威胁,容器就存在被攻陷的可能。在使用容器的过程中,该企业公开可用的容器镜像数量呈现指数级增长,单月从存储库中拉取的镜像的高峰值更是达到18,000次,镜像安全问题引发重视。
解决方案
镜像安全问题曾一度困扰着该互联网企业,在评估了市场上的多款云原生安全产品后,他们最终选择了青藤蜂巢·云原生安全平台,用于保护其容器安全、镜像安全,充分发挥其新产品、业务创新的潜力,提升开发运营效率。
【“对我们来说,云原生安全产品的可用性是非常重要的。在前期,我们验证了配置、安装等问题是否可行,以及实施环境、技术功能是否准确等,在青藤技术人员的支持下,我们成功进行了验证,确认能够满足我们的要求。”该企业这样表示。】
面对当下最棘手的问题,青藤基于实战经验,为该互联网企业首先进行了诊断,提出了“想要保护好镜像,不仅仅是要保护好镜像本身的安全,更要确保镜像在运行过程中不会被篡改,并且确保镜像仓库的安全”,发现该企业的容器镜像存在着三方面的问题:
一是,有些镜像是过期的,这增加了风险暴露面,很容易被攻击者利用。
二是,有些镜像构建不合规,这些镜像并非恶意镜像,而是由于错误的配置导致的。
三是,有些恶意镜像隐藏着诸多后门,是危险系数高的镜像。
对于这些问题,该互联网企业通过青藤蜂巢·云原生安全平台,在镜像构建时就对镜像进行扫描,一旦检测到漏洞、错误配置、威胁等相关问题,便会通过蜂巢控制台向企业的操作管理员进行提示。
【“在集群中启动新容器时,青藤蜂巢能按计划,按需进行镜像扫描,并及时地返回漏洞数据,可以让我们直观、完整地看到整个扫描结果,比如依赖项的数量、高危漏洞的数量等。”该企业表示。】
我们不仅要更早地发现和修复容器漏洞,更要监测生产环境中的应用程序,确保这些程序在部署后也能保持安全。在运行时阶段,青藤蜂巢还会自动检测正在运行的容器,对容器的任何操作执行最低权限的要求,确保镜像的不变性,杜绝未经授权的镜像部署、恶意代码注入、篡改、非法数据泄露以及各类攻击等安全风险。
【“很多安全产品在部署前可能也会提供容器镜像扫描能力,但是很少有产品能够从开发到部署无缝保证安全,青藤蜂巢的漏洞检测和识别准确性高,镜像扫描效率高,并能够扫描生产中运行的容器,支持整个CI/CD管道中的漏洞扫描,完全做到在整个应用程序生命周期中提供容器和云原生应用程序的安全性。”】
此外,青藤蜂巢·云原生安全平台在提高该企业漏洞修复效率方面也有明显的效果,相较于传统扫描工具的流程,该企业过去需要用将近1小时的漏洞扫描已经缩减到6分钟,效率提升10倍,并且还将会有更大的提高。
【透过该互联网企业的云原生安全实践经验来看,当涉及到镜像安全保护时,我们要注意这几个细节的关键点:
•在基础镜像构建阶段即启动镜像扫描,使用数字签名来验证镜像的真实性
•优先选择从最小的基础镜像进行构建
•尽早、持续性地检查镜像是否存在漏洞问题,创建受信任的基础镜像
•已经通过所有安全检查的基础镜像,在创建新镜像时也需要再次扫描
•在软件全生命周期的多个节点进行扫描:CI/CD、镜像仓库及集群运行时容器等】
重要价值
在经历了容器化部署和应用青藤蜂巢·云原生安全平台之后,该企业已经朝着云原生安全的方向迈出了重要一步:凭借贯穿整个应用开发生命周期的安全性,该互联网企业的容器基础设施安全保护得到有效保障,实现了降本增效。