אבטחת מידע בקונטיינרים: הכירו את נקודות החולשה

טכנולוגיית הקונטיינרים השימושית מחוללת מהפכה באופן שבו מפתחים כותבים יישומים ומנהלי רשתות מתקינים ומנהלים אותם, אבל יש לה נקודות תורפה בכל הקשור לאבטחת מידע. הנה 3 אזורים בעייתיים שכדאי לשים לב אליהם כדי לשמור על אבטחת היישומים בזמן אמת

צלם/תמונה: Gonzalo Azumendi / Getty Images Israel

מאת אילנה בן-ישי, מנהלת הגיוס בטוויסטלוק

קונטיינר – טכנולוגיית וירטואליזציה קלת משקל שמאפשרת להריץ יישומים ואפליקציות – הוא ללא ספק שימושי ומחולל מהפכה באופן שבו מפתחים כותבים יישומים ומנהלי רשתות מתקינים ומנהלים אותם. בשונה ממערכות VM) Virtual Machine), שבנויות ממערכת ההפעלה ומהתוכנות שהתקינו עליהן, קונטיינר מנצל את יכולות הקרנל של לינוקס (Linux Kernel) כדי לאפשר התקנת יישומים המבודדים הן ממערכת ההפעלה והן זה מזה באופן יעיל, בטח בהשוואה למה שניתן היה להשיג עד כה באמצעות טכנולוגיות וירטואליזציה מסורתיות.

אך כל זה משתנה כשמגיעים לאבטחת מידע. מערכות VM יכולות להשתמש בכל אמצעי האבטחה המסורתיים שמיועדים למערכת הפעלה שלמה, בעוד לקונטיינר אין היכולת הזו ולכן נולד הצורך בפתרון אחר. מדובר בנושא מהותי במיוחד בקוטיינרים, שכן אם מתקיף הצליח לפרוץ לקונטיינר אחד הוא יכול לחדור למערכת ההפעלה וליתר הקונטיינרים במערכת מבלי לצאת מהמכונה. בנוסף, שטח ההתקפה בקונטיינרים רחב מאוד כיוון שהוא מהווה מערכת הפעלה שלמה, ודאי לעומת מכונות וירטואליות ששם קיים ממשק מצומצם של גישה וחומרה וירטואלית (hardware abstraction layer). הנושא הזה כמובן משפיע על כל ארגון שמעוניין לצרוך שירותים קריטיים על גבי קונטיינרים.

לבדוק ולתכנן היטב את אבטחת היישומים

נושא אבטחת מידע הוא אמנם סבוך יותר על קונטיינרים, אך בהחלט לא בלתי אפשרי. נבחן שלושה נושאים הייחודיים לקונטיינר ולאבטחת מידע:

1. סריקת אבטחת מידע של התמונה (לפני שלב ההרצה הקונטיינר הוא אוסף קבצים – Image)

בשונה ממערכת הפעלה שיודעת לבצע עדכונים ובדיקות באופן שוטף לקבצים או לתהליכים חשודים במערכת, בקונטיינר לא קיים מנגנון דומה וגם אין לו יכולת להתריע על בעיות או חשדות שקשורים ליישומים שרצים עליו, גם לפני שלב ההרצה.

סריקת אבטחת המידע של התמונה (image) הוא שירות חדש יחסית שמוצע על ידי מספר חברות. הרעיון הבסיסי הוא פשוט: לקחת את התמונה ואת הקישורים לתוכנות שהקונטיינר מכיל ולבצע סריקה יסודית מול רשימה של פרצות מוכרות, כדי לייצר “הצעה לשיפור הבטיחות” של הקונטיינר עבור התמונה. בהתבסס על מידע זה, ארגונים יכולים לחקור את נקודות התורפה שהתגלו כדי לברר אם הן מהוות סיכון ממשי על המערכת. בדרך זו ניתן ליישם הגנות ולצמצם את נקודות התורפה.

סריקה אוטומטית היא מהלך ענק קדימה עבור אבטחת מידע בתעשיית הקונטיינרים. באמצעות מתן תשומת לב לתוצאות הסריקות ותגובה מהירה, ארגונים יכולים להקדים את התוקפים. שירות הכרחי שנוצר כתוצאה מכך הוא אכיפה של תוצאות הסריקה, משמע קונטיינר שתוצאות הסריקה שלו “מסוכנות” למערכת לא יהיה בר הרצה.

2. איתור איומים ותגובות בזמן אמת

גם אם תעשו עבודה מצוינת בסריקת התמונה ומציאת החולשות בקונטיינר, תמיד יש באגים ופריצות שעלולים להתבטא בזמן הריצה, ולגרום לחדירות או לבעיות אבטחת מידע נוספות. לכן חשוב לצייד את המערכות עם יכולות תגובה לזיהוי האיום בזמן אמת.

היישומים בקונטיינרים לעומת עמיתיהם במכונות וירטואליות הם באופן מובהק יותר מינימליים ובלתי משתנים. עובדה זו מאפשרת ללמוד את הבסיס של היישום שאנו מריצים בנאמנות גבוהה עם יישומים מסורתיים, ובאמצעות עקרון בסיסי זה פשוט יותר לזהות איומים, אנומליות וחריגות בזמן אמת.

בשל האופי החולף של קונטיינרים (כל קונטיינר יכול להכיל יישום שונה עם התנהגות טיפוסית שונה) עלינו להגן על המידע בהם באופן אוטומטי בזמן אמת, וזאת תוך פיתוח יכולת שמזהה חולשות שונות מיישומים שונים. במקביל עלינו לשמור שכל הפעולות הללו לא יפגעו בעבודה הרציפה של הקונטיינר.

3. בקרות גישה (Access Control)

בקרנל של לינוקס יש תמיכה של מודלי אבטחת מידע, כלומר ניתן להגדיר את המדיניות לפני ביצוע הפעולות. מדיניות הגישה כיום בקונטיינר מוגדרת בצורה מרכזית במערכת ולא ניתן לשנות אותה על ידי משתמשים. אנו יכולים לתת הרשאות למשתמשים שונים במערכת, אבל הן “הכל או כלום”. במילים אחרות, זה אפשרי ליצור מדיניות מיוחדת להפעלת קונטיינרים, אך זה לא אפשרי לתת הרשאות שונות לאותו משתמש כלפי סביבות עבודה שונות.

חשוב לציין כי כל מי שיש לו הרשאות להפעיל קונטיינרים יש לו הרשאות root, כלומר יש לו היכולת לעלות ולערוך כל קובץ. לרוב ארגונים ירצו שליטה מדויקת יותר על הרשאות המשתמשים בקונטיינרים, וכיום כבר קיים שירות של בקרות גישה למשתמשים כלפי ישומיים שונים כחלק ממוצרי אבטחת מידע לקונטיינרים.

לשימוש בקונטיינרים יש הרבה יתרונות, אך חשוב לבדוק ולתכנן היטב את אבטחת היישומים שירוצו תוך כדי התהליך, בדגש על מקור, תוכן קונטיינר, בידוד, ואמון. את הבדיקה הזו ארגונים צריכים לעשות גם בשלב פיתוח וגם בשלב הייצור, ולהמשיך לבחון בזמן אמת את יכולת אבטחת המידע של הנתונים בקונטיינרים.

הכתבה בחסות Twistlock

החברה מובילה פתרונות אבטחת מידע לקונטיינרים הכוללים סט של יכולות ניהול פגיעויות בקונטיינרים ואכיפת נהלי תאימות וכמו כן אוסף של פונקציות בזמן ריצה המספקות ניתוח התנהגות של יישומים בקונטיינרים והתגוננות מפני איומים.
ביולי האחרון גייסה Twistlock עשרה מיליון דולר בסבב A בהובלת Ventures TenEleven, החברה גייסה בזמן שיא לקוחות חדשים, שחלקם הם מהמפעלים הגדולים בעולם. החברה עובדת בטכנולוגיות חדשות ומתקדמות, בימים אלו עברה Twistlock למשרדיה החדשים כחלק מגדילת צוות הפיתוח. אנו מגייסים מהנדסי תוכנה שמעוניינים לעבוד בטכנולוגיות מתקדמות ולהיות חלק מפיתוח מוצר אבטחת מידע חדשני ומוביל בתחומו.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה on "אבטחת מידע בקונטיינרים: הכירו את נקודות החולשה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Royee Tager
Guest

בנוגע לsecurity של containers ושל cluster שמריץ containers הייתי מוסיף:
1. שכדאי גם לוודא שמתחברים לcluster עם certificate ועובדים עם TLS כדאי שלא כל אחד יוכל להרים / להוריד containers ב- cluster
2. בגרסה 1.12 של Docker כאשר עובדים ב-swarm mode מנגנון ה-TLS כבר עובד ויש לו מנגנון של החלפת מפתחות

wpDiscuz

תגיות לכתבה: