A konténertechnológia bevezetése az elmúlt néhány évben rohamos növekedést mutatott. Most azonban, hogy komolyan megvetette a lábát a vállalatoknál, kérdések jelennek meg a konténerek biztonságával kapcsolatban. Az alapvető probléma talán az, hogy mennyire biztonságosak a konténerek?
Úgy tűnik, a legtöbben úgy gondolják, hogy a konténerek biztonságosak. Mintha valamilyen varázserejük lenne, ha a rosszindulatú programok elleni védekezéséhez. Dan Walsh, a Red Hat vezető mérnöke szerint azonban az IT-menedzsereknek fel kell hagyniuk azzal a feltételezéssel, hogy a Docker és a Linux kernel megvéd a rosszindulatú programoktól - írja a CIO Insight.
Sajnos úgy tűnik, kevesen vették komolyan ezt a figyelmeztetést. Az Aqua Security 2021-es Cloud Native Security Survey felmérése szerint a válaszadók mindössze 3 százaléka ismerte fel, hogy a konténer önmagában nem nyújt biztonságot. A válaszadók mindössze 24 százalékának voltak tervei a futásidő alatti biztonsághoz szükséges építőelemek telepítésére.
Annak ellenére, hogy a jelentések szerint a felhő-natív támadások egyre kifinomultabbak, a válaszadóknak csak 18 százaléka ismerte fel, hogy a konténeres környezetekben nulladik napi kockázatoknak vannak kitéve. Ez azt jelzi, hogy a konténerek alapértelmezett biztonsági képességeit sokan túlbecsülik.
"Amikor a szakemberek nem holisztikus megközelítést alkalmaznak munkaterhelésük futásidő alatti védelmére, akkor megnyitják a környezetüket a támadók előtt, mivel még a legteljesebb sebezhetőség- és kártevő-felismerés sem képes megakadályozni a nulladik napi támadásokat és a rendszergazdák hibáit" - mondta Amir Jerbi, az Aqua technológiai igazgatója.
A konténerbiztonsággal kapcsolatos zűrzavar részben a biztonsági határ fogalmából adódhat. "A biztonsági határ logikai elválasztást ad a különböző szintű biztonsági tartományok kódja és adatai között. Például a kernel üzemmód és a felhasználói üzemmód közötti elválasztás klasszikus és egyszerű biztonsági határvonal" - álltja a Microsoft.
A Red Hat úgy véli, hogy bár a konténerek bizonyos hozzáférési korlátozásokkal vannak ellátva, nem tekinthetők erős biztonsági határnak. A kiberbűnözők meg tudják kerülni ezeket a korlátozásokat. Amit sokan nem vesznek észre az informatikában, hogy a különböző konténer-futtatási biztonsági rétegek nem fedik egymást pontosan. Néhány rés marad, ami viszonylag egyszerűvé teszi a konténerek elszigetelésének megkerülését.
A népszerű konténerkörnyezetek, például a Docker és a Kubernetes közötti különbségek szintén összezavarhatják az IT-t. Előfordulhat, hogy egy védelmi eszköz elérhető az egyik platformon, de egy másikban alapértelmezés szerint le van tiltva. Így észnél kell lenni, amikor a konténerbiztonságról van szó.
Az Aqua szerint a támadók gyakorlottá váltak a módszereik elrejtésében és az olyan technikák kikerülésében, mint a statikus szkennelés. Ennek megfelelően a konténer alapú környezetek ahogy elterjedtebbé, egyben veszélyesebbé is váltak. Az Aqua számai szerint a hackertámadások felderítésére és elhárítására, a behatolók féltevezetésére szolgáló kiberbiztonsági mechanizmusokat, a honeypotokat hat hónap alatt 17 358 alkalommal támadták meg, ami 26 százalékos növekedést jelent az előző hat hónaphoz képest.
Az Aqua holisztikus felhő-natív biztonságot - beleértve a futásidő védelmet is - bevezetését ajánlja a felderítést kikerülő és a termelési környezethez hozzáférő támadók elleni védelem érdekében. "A holisztikus felhő-natív biztonság nem csak a futásidő biztonságról vagy bármely más fókuszterületről szól, hanem arról, hogy az alkalmazás teljes életciklusát lefedjük, a felépítéstől az infrastruktúrán át a munkaterhelésekig" - mondta Jerbi.
Mint minden másban a biztonságban, az ésszerű megközelítés a mélységben történő védelem (Defense in depth, DiD). A konténerek és a tűzfalak is nyújtanak némi biztonsági védelmet. De senki sem olyan ostoba az informatikában, hogy kizárólag a tűzfalra hagyatkozzon. Ezért nem szabad olyan naivnak sem lenni, hogy mindent a konténerek beépített biztonsági funkcióira bízzunk. Ahogyan mindenkinek meg kellett tanulnia, hogy a felhőszolgáltatók által nyújtott biztonság nem bolondbiztos, úgy az is megtanulandó, hogy a konténerek biztonságát a szokásos DiD megközelítéssel kell kiegészíteni az átfogó biztonság érdekében.
