当前位置:首页 > 报告详情

江国龙-安全左移:基于DevSecOps实现容器镜像的安全运营.pdf

上传人: 2*** 编号:132051 2023-06-30 28页 4.61MB

1、2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站安全左移:基于DevSecOps实现容器镜像的安全运营江国龙 腾讯安全云鼎实验室云原生安全专家,腾讯安全云鼎实验室高级研究员。主要负责云原生安全相关领域的技术研究与安全能力建设、腾讯云原生安全治理与运营,有着丰富的云原生安全技术和实践经验。01容器镜像的基本原理02镜像安全的需求和挑战03安全能力建设与运营实践04总结展望目录Content01容器镜像的基本原理2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站什么是容器镜像参考链接:https:/ DevOps 国际峰会 暨 BizDevOps

2、企业峰会 北京站容器镜像是怎么来的 docker buildcd path/to/dockerfiledocker build-t image-eg.docker commitdocker commit container-id repository:tagdockerfile exampledocker commit example2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站容器镜像是怎么存储的 docker pushdocker image tag nginx:latest registry-host:5000/myadmin/nginx:latestdock

3、er image push registry-host:5000/myadmin/nginx:latestRegistry仓库Project项目Repository镜像tag版本app_a:v1app_a:v1app_b:v1app_a:v1app_b:v1app_c:v1A镜像B镜像C镜像容器镜像的依赖关系仓库镜像管理的逻辑关系镜像A镜像A0镜像A00镜像A1镜像A10镜像A01镜像B镜像B0镜像B00镜像B1镜像B11镜像B10仓库镜像的构成示意基于镜像间的依赖关系(基础镜像),仓库内的镜像组成了“森林”存储结构02镜像安全的需求与挑战2023 DevOps 国际峰会 暨 BizDevOp

4、s 企业峰会 北京站镜像安全是云原架构下的重要安全风险来源Kubernetes攻击向量示例容器镜像是云原生架构中重要的风险点,是攻击者重要的攻击对象镜像安全漏洞隐私病毒木马篡改合规2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站当前容器镜像的安全现状不容乐观中危/低危13%严重/高危87%87%的镜像包含严重或者高危漏洞(Log4shell等)71%的镜像存在可以被修复的漏洞 15%的严重或高危漏洞,存在于正在运行的容器中参考链接:https:/ DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站容器镜像的风险分类 镜像供应链,镜像被恶意投毒利用挖矿、病

5、毒、木马 容器镜像自身的脆弱性漏洞、合规、隐私参考链接:https:/ DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站针对镜像供应链的攻击传播快,影响范围 恶意镜像主要以机器学习、编程语和基础应环境的基础镜像为主,这些镜像旦被下载,将在内泛使,威胁也将快速蔓延 据统计,编程语类的基础镜像下载数量最,通常4-5个就可以达到10w 左右的下载量2023 DevOps 国际峰会 暨 BizDevOps 企业峰会 北京站针对镜像的在野攻击例通过镜像投毒实现挖矿获利目标Image NameRepo DigestLast UpdatedSize(MB)Pull Countthanhcon

6、gnhe/haven80nogpu776229b1e37d2021-12-10T04:40:3037.11 MB48287884thanhcongnhe/thanhcongnhe5af66abb7a072021-02-10T00:56:08197.99 MB42750641doiquaroinha/doiquaroinha 94242f256c732021-07-17T07:32:51198 MB19539252danhthuagrab/danhthuagrab 51fe58d508822021-07-23T20:54:48198 MB17027852christophermitchellgn

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了容器镜像的安全性问题,在DevSecOps背景下,如何实现容器镜像的安全运营。核心数据如下: 1. 容器镜像风险:87%的镜像包含严重或高危漏洞,71%的镜像存在可以被修复的漏洞,15%的严重或高危漏洞存在于正在运行的容器中。 2. 镜像供应链攻击:恶意镜像主要以机器学习、编程语言和基础应用环境的基础镜像为主,这些镜像一旦被下载,将在内网广泛使用,威胁也将快速蔓延。 3. 安全能力建设与运营实践:要实现镜像的安全运营,需要构建基于威胁情报、分析镜像、结果展现的安全能力框架,确保新增镜像是安全的,分批、分步地收敛已经存在的高风险镜像。 4. 黄金镜像:基础镜像必须使用经过安全评估、解决了已知安全风险、可以直接使用的安全镜像,其指标包括最小化安装、修复所有已知漏洞、最小化权限配置等。 5. Dockerfile和Yaml文件安全要求:Dockerfile要求镜像小、层数少、风险少,Yaml文件要求做好准入控制,运行时阶段只有符合安全要求的镜像才允许被拉起运行。 6. 存量镜像治理:确定治理优先级,识别基础镜像,修复业务镜像风险,清理查漏补缺。 总体而言,容器镜像的安全性是云原生架构下实现DevSecOps的重要环节,需要构建安全能力框架,确保高效准确,而云原生安全任重道远。
"容器镜像安全如何保障?" "DevSecOps中镜像安全的重要性是什么?" "如何高效准确地实现镜像安全能力建设?"
客服
商务合作
小程序
服务号
折叠