容器是云原生应用界一项迅猛发展的技术。就像计算系统一样，容器由软件程序包组成，而这些软件程序包含有所有必要的组件，比如用于从任何地方运行应用程序所需的二进制代码、文件和库。

　　容器是轻量级的，开发运维(DevOps)团队使用它们来开发应用程序和部署服务。此外，组织还使用容器来部署和扩展DevOps基础架构，比如持续集成/持续交付(CI/CD)工具。报告显示，到2022年，组织可能在容器上运行24%的工作负载。

　　然而，尽管容器有诸多好处，但这并不意味着它们就是完全安全的。一项研究显示，87%的组织在生产环境中部署了容器，而94%的组织至少遇到过一次安全事件。另一项研究发现，由于容器安全问题，45%的组织已推迟或放慢了应用程序部署工作。

　　所有这些问题可能导致组织放慢转型步伐，蒙受财务上和声誉上的损失。为了避免此类情况，组织需要了解云容器威胁，并学习如何将风险降至最低。

　　为什么云容器成为越来越大的威胁?

　　容器是当下的一股潮流，它在提高敏捷性和促进创新方面起到了关键作用，也是应用程序开发必不可少的。近年来，容器的采用率飙升，会继续飙升，毕竟它彻底改变了组织部署IT基础架构的方式。

　　Gartner 预测，到2023年，70%的组织将使用容器化应用程序。云原生计算基金会(CFNC)在一项调查中发现，96%的企业已经评估或积极使用Kubernetes。此外，Red Hat的《2022年企业开源状况报告》发现，68%的IT领导者表示容器技术处于与人工智能和机器学习等其他重要技术相提并论的地位。

　　容器因显著的优势而得到采用，但也会带来对组织产生不利影响的网络安全威胁和挑战。如果企业依赖容器技术，却未能识别安全漏洞并实施缓解措施，其敏感的业务数据就岌岌可危，包括客户数据。由于这些威胁大多数无法借助代理或VPN等端点安全工具得到缓解，形势变得更为严峻。以下是云容器对组织构成威胁的几个原因：

　　人为错误

　　黑客可以通过几个途径危及云端的容器技术。一项研究表明，90%的受访者遇到过容器安全事件，67%的受访者遇到过容器严重配置不当。事实上据Gartner声称，到2025年，超过89%的云泄密事件的根本原因是用户配置不当和错误。

　　容器不是为存储数据而构建的，但有时组织会犯将敏感数据存储在容器镜像内这个错误。由于存储的数据可以公开访问，这为威胁分子达到目的提供了很大的便利。比如说，发现托管镜像的容器注册中心含有可供公众访问的源代码后，Vine的全部代码都被泄露了。

　　利用薄弱环节

　　网络犯罪分子可以在底层操作系统中找到薄弱环节，并利用该薄弱环节来访问容器。比如说，黑客可以通过窃取安全性弱的凭据(登录信息)闯入云环境，然后可以篡改应用程序配置，这可能导致供应链出现安全威胁。黑客还可以利用容器来访问主服务器。在这两种情况下，容器都会受到威胁，数据安全因此面临风险。

　　镜像漏洞

　　容器的另一个威胁与构建容器的镜像有关。企业可以重用镜像的组件，而不是从头开始构建新容器。因此，容器镜像在容器生态系统中发挥着至关重要的作用，但它带来的风险也不容忽视。

　　有报告显示，托管在Docker Hub存储库上的超过200万个容器镜像至少存在一个严重漏洞。恶意攻击者通过镜像抢注攻击来攻击公共注册中心。在这种攻击下，网络犯罪分子上传带有真实合法镜像名称的恶意镜像。

　　攻击者可以用恶意软件渗入创建容器的镜像。在整个容器中传播的恶意软件会破坏文件，甚至导致数据被盗。

　　API服务器访问

　　研究人员发现，380000余台Kubernetes API服务器允许访问公共互联网。这使得管理云部署的开源容器编排引擎很容易成为网络犯罪分子的目标。中招的API服务器使威胁分子能够操纵各种Kubernetes组件之间的联系，比如外部托管的恶意资源。

　　此外，攻击者可以利用通信渠道在Pod之间传播加密货币挖掘恶意软件。这甚至会威胁到组织的可用应用程序和服务。

　　除此之外，由于容器通过网络与其他容器和编排环境进行联系，SQL注入和XSS攻击之类的攻击就司空见惯。

　　云容器防御最佳实践

　　报告显示，75%的容器存在高危或严重的可修补漏洞。随着企业的应用程序和服务转而采用容器技术，保护云容器的需求变得势在必行。

　　以下是缓解云容器威胁的有效方法：

　　实施在容器生命周期的各个阶段保护容器的安全控制。

　　由于容器由应用程序代码、文件、库和二进制文件组成，应建立官方容器注册中心。

　　保护API服务器是重中之重。API服务器需要安全性强的身份验证凭据，开发人员应通过结合多因素身份验证(MFA)或其他工具来限制未授权访问。

　　使用容器化的下一代防火墙来保护容器远离恶意软件等基于网络的威胁。下一代防火墙可以防止恶意软件进入容器并在容器内传播，并阻止旨在泄露数据的恶意出站连接。

　　增加使用基于人工智能的自动化配置管理，以避免人为错误风险。

　　彻底扫描内部源代码，以确保容器镜像中不存在恶意软件。然而，由于容器镜像还包括从第三方导入的资源，因此光扫描还不够。应使用容器扫描工具扫描整个镜像，因为它可分析镜像内容，并标记可疑或不安全的组件，而不是扫描源代码。

　　部署访问控制以确保没有未授权用户在访问注册中心中的镜像。这样一来，组织可以防止数据泄露，因为镜像会泄露私密数据。

　　不断进行安全测试，以防止最细小的错误配置。

　　如果组织确保能够满足容器化应用程序的漏洞管理、运行时保护、合规和网络安全等要求，它们无异于有了成功的策略来防范云容器威胁。

　　结语

　　由于容器技术日益在云端得到采用，加上容器有众多好处，组织可能忍不住忽略潜在的安全威胁。人为错误、镜像漏洞和中招的API服务器，这是导致云容器威胁增加的三大原因。这些问题常常导致恶意软件攻击、数据盗窃和泄漏。采用适当的容器安全措施有助于降低风险，比如使用容器安全工具、维护API安全、部署防火墙以及持续监控和测试。

　　责任编辑：张华