云原生計算基金會最近的Kubernetes報告發現，28%的企業有超過90%的工作負載運行在不安全的Kubernetes配置中。大多數工作負載(超過71%)使用超級用戶訪問權限運行，這增加了系統受損和敏感數據泄露的可能性。許多DevOps組織忽略了將readOnlyRootFilesystem設置為True，這會使其容器容易受到攻擊，并且會寫入未經授權的可執行文件。

容器是軟件供應鏈中增長最快、也是最薄弱的環節

Gartner預測，到2029年，超過95%的企業將在生產中運行容器化應用程序，較去年的不到50%大幅躍升。在五年內，35%的企業應用程序將在容器中運行，超過80%的商業現成(COTS)供應商將以容器格式提供軟件，而去年這一比例還不到30%。在創建云應用的企業中，容器及其協調平臺主導著DevOps和DevSecOps，而且還會加速。

然而，容器是軟件供應鏈中最薄弱的環節之一。從錯誤配置的云、容器和網絡配置，到在項目生命周期中誰擁有容器安全的困惑，企業都在努力控制容器安全。攻擊者正在利用容器鏡像、運行時、API接口和容器注冊表中日益增長的漏洞來利用斷開的連接。身份安全級別較低的不安全容器(如果有的話)也是內部攻擊者的金礦。

當容器映像不安全時，攻擊者可以迅速超越最初的威脅表面，入侵整個網絡和基礎設施。大多數攻擊平均在277天內無法識別，而且可能會持續更長時間，這取決于組織的監控是否有效。

保護容器安全的十種方法可以保護供應鏈

從鏡像漏洞到容器運行時配置不安全，再到運行時軟件中的漏洞，容器經常會因為配置薄弱或不一致而失敗。市場上沒有單一的解決方案可以解決所有這些挑戰，它需要DevOps、DevSecOps和軟件工程方面的變更管理來幫助提高容器安全。

一個很好的起點是NIST的應用程序容器安全指南(NIST SP 800-190)，它對與容器有關的潛在風險進行了深入評估，并為降低其風險提出了切實可行的建議。根據NIST的說法，“容器的使用將大部分安全責任轉移到開發人員身上，因此組織應該確保他們的開發人員擁有做出合理決策所需的所有信息、技能和工具。”NIST建議讓安全團隊能夠在整個開發周期中定義和執行質量。

1.先準備好容器專用安全工具。定義一個負擔得起的、可行的安全工具路線圖，專門為保護容器(如果尚未到位)而構建。安全團隊從旨在管理漏洞、實施訪問控制和確保合規性的工具開始。這些工具包括用于漏洞掃描的Red Hat‘s Clair、用于Kubernetes圖像掃描和分析的Anchore以及用于合規性檢查的OpenSCAP。

2.實施嚴格的訪問控制。對于任何追求零信任框架的組織來說，實施對每個容器的最低特權訪問對于降低入侵風險至關重要，這尤其適用于管理員訪問權限和特權。CrowdStrike的獵鷹云安全、Ivanti的身份總監和Portnox的云原生NAC解決方案都是在這一領域提供解決方案的供應商之一。

3.定期更新容器鏡像。與任何企業系統或DevOps組件一樣，保持最新的安全更新至關重要。WatchTower專門從事Docker圖像的自動更新，Podman管理符合OCI標準的容器，以及Google Cloud的Artiact Registry，它允許添加新的圖像，它們提供了工具來幫助平臺團隊確保他們的圖像是更新的和安全的。許多DevOps和DevSecOps團隊都在自動進行安全更新，以確保他們不會錯過一個。為了確保圖像的安全，養成定期執行審計的習慣是個好主意。

4.自動化CI/CD管道中的安全。開始將自動化安全檢查集成到CI/CD管道中，如果它們還不能及早識別漏洞。使用容器特定的工具進行靜態代碼分析和運行時掃描是一個好主意。始終檢查以確保圖像來自受信任的注冊中心。Alert Logic以實時威脅檢測和事件響應而聞名，Anchore以其容器圖像漏洞管理而聞名，Aqua Security以全面的容器安全而聞名，這三家供應商在這一領域值得注意。

5.進行全面的漏洞掃描。任何旨在保護容器安全的工作流程都需要包括對容器圖像和注冊表的定期漏洞掃描。這些掃描的目標是識別安全風險并防止部署易受攻擊的容器。提供漏洞掃描的主要供應商包括Aqua Security、以合規性和漏洞管理而聞名的Qualys，以及以容器運行時防御和云本地應用程序保護平臺功能而聞名的SysDig Secure。

6.有效管理秘密。獲得正確的秘密管理是確保容器安全的核心領域。入侵事件的發生是因為文本機密進入了容器圖像。為了增強安全性，必須使用容器圖像簽名，以確保圖像得到驗證和信任。還建議使用來源驗證工具來幫助保護軟件供應鏈，維護軟件組件的完整性和真實性。

7.隔離敏感工作負載。對于追求零信任框架的企業來說，細分的概念是他們自然反應的一部分。在保護容器時，物聯網需要保持一致。根據數據的敏感程度和機密程度隔離容器。具有身份訪問管理層(IAM)和特權訪問管理層(PAM)的保險存儲容器內容。通過分段全力以赴地保護工作負載，該分段可以適應并靈活地適應容器和Kubernetes工作流的快速變化。

8.使用不變的基礎設施。不可變基礎設施的概念是，一旦部署了服務器，它們就永遠不會被修改。如果需要更新或修復，則從帶有新添加或更改的公共映像創建和配置新服務器，以替換舊服務器。AWS Fargate、Docker和Google Kubernetes Engine在提供基于容器和Kubernetes的不變性基礎設施方面處于領先地位。

9.實施網絡策略和分段。對網絡流量如何流經網絡獲得更好的可見性可提供正確分段所需的寶貴數據。它對于定義安全約束和提供遙測數據也是無價的，領先的供應商希望使用這些數據來訓練他們的大型語言模型。領先的供應商包括AlgoSec、思科和Check Point軟件技術公司。這些公司中的每一家都提供用于維護合規性、執行策略和管理安全操作的應用程序和工具。

10.實施先進的容器網絡安全。確定網絡集成點可能出現故障或被攻擊者破壞的位置，這就是為什么需要采取額外的步驟來保護容器。超越容器本身并保護其跨網絡的接入點是關鍵。思科、CrowdStrike、Ivanti、Palo Alto Networks和VMware/Broadcom都將高級容器網絡安全作為其平臺的一部分。獲得高級容器網絡安全權限將采取綜合方法，單個供應商很可能無法針對企業擁有的更復雜的網絡配置進行擴展。