Accedi / Registrati Account

Sicurezza

Sicurezza dei container

Cos'è la sicurezza dei container?

Con sicurezza dei container si intende la protezione dell'integrità dei container, dalle applicazioni che contengono all'infrastruttura su cui si basano. Quella dei container deve essere una sicurezza integrata e continua. In generale, questo significa che l'azienda deve:

  • Proteggere il flusso dei container e l'applicazione
  • Proteggere l'ambiente di deployment e l'infrastruttura dei container
  • Integrare gli strumenti di sicurezza di livello enterprise e rispettare o migliorare i criteri di sicurezza esistenti

L'ampia diffusione dei container è dovuta alla facilità di compilare, raggruppare e promuovere un'applicazione o un servizio e tutte le relative dipendenze, per l'intero ciclo di vita e su diversi ambienti e destinazioni di deployment. Rispetto alla sicurezza, tuttavia, i container presentano alcune complessità. Criteri e checklist di sicurezza statiche non sono scalabili per i container dell'azienda. La catena di fornitura esige più servizi correlati ai criteri di sicurezza. I team devono compensare le esigenze di networking e governance dei container. È necessario eseguire il disaccoppiamento degli strumenti e dei servizi di creazione e runtime.

Per esser certi che i container siano affidabili e scalabili, è necessario prevedere la sicurezza già nel flusso dei container e difendere l'infrastruttura. Senti cos'hanno da dire gli esperti in merito alla protezione dello stack applicativo e del ciclo di vita dei container grazie a questa serie di webinar.


Integrare la sicurezza nel flusso dei container

Acquisizione delle immagini

I container sono costituiti da livelli di file che la community definisce immagini container. L'immagine di base è la più importante per la sicurezza, perché rappresenta il punto di partenza dalla quale vengono create le immagini derivate. La sicurezza del container inizia con l'individuazione di origini affidabili per le immagini di base. Anche se si usano immagini affidabili, l'aggiunta delle applicazioni e delle configurazioni introduce nuove variabili. Quando si introduce il contenuto esterno con il quale vengono realizzate le app, è necessario prevederne una gestione proattiva.

Durante l'acquisizione delle immagini container, occorre porsi le seguenti domande:

  • Le immagini container sono firmate? Provengono da origini affidabili?

  • I livelli relativi a runtime e sistema operativo sono aggiornati?

  • Con quale frequenza e velocità vengono aggiornati i container?

  • I problemi noti vengono identificati? Come vengono tracciati?

Gestione dell'accesso

Dopo aver ottenuto le immagini, il passo successivo consiste nella gestione dell'accesso e nella promozione di tutte le immagini container usate dal team, il che significa proteggere sia le immagini scaricate che quelle realizzate. L'impiego di un registro privato consente di controllare l'accesso con assegnazioni basate su ruoli, agevolando la gestione del contenuto tramite l'associazione dei metadati al container. I metadati forniscono informazioni come l'identificazione e la registrazione di vulnerabilità note. Il registro privato consente inoltre di automatizzare e assegnare criteri per le immagini container archiviate, riducendo gli errori umani che possono introdurre vulnerabilità nel container.

Nel processo decisionale sulla gestione degli accessi occorre chiedersi quanto segue:

  • Quali controlli degli accessi basati su ruoli è possibile usare per gestire immagini container?

  • È possibile aggiungere tag per agevolare l'ordinamento delle immagini? È possibile applicare tag alle immagini solo per la fase di sviluppo, quindi per quella di test e infine per quella di produzione?

  • Il registro offre metadati visibili che consentono di tenere traccia delle vulnerabilità note?

  • È possibile usare il registro per assegnare e automatizzare i criteri (ad esempio controllando firme, scansioni di codici e così via)?

Integrare i test di sicurezza e automatizzare il deployment

L'ultima fase del flusso è il deployment. Una volta completate, le build devono essere gestite nel rispetto degli standard di settore. In questa fase è necessario comprendere come automatizzare i criteri affinché vengano contrassegnate le build con problemi di sicurezza, soprattutto quando vengono individuate nuove vulnerabilità. Poiché applicare patch ai container non è mai una soluzione valida quanto ricrearli, l'integrazione dei test di sicurezza deve tenere conto dei criteri che generano nuove build automatiche. La prima parte di questo passaggio consiste nell'esecuzione di strumenti di analisi dei componenti in grado di registrare e contrassegnare i problemi. La seconda fase consiste nel definire gli strumenti necessari per un deployment automatico e basato su criteri.

Al momento di integrare i test di sicurezza e automatizzare il deployment, occorre porsi le domande seguenti:

  • Come impedire alle patch di eseguire i container e utilizzare invece trigger per ricreare e sostituire i container con aggiornamenti automatizzati?


Difesa dell'infrastruttura

Un altro livello di sicurezza dei container è l'isolamento fornito dal sistema operativo host. È necessario un SO host che offra al container il massimo isolamento possibile. Questo rappresenta un elemento di assoluta importanza nella difesa dell'ambiente di deployment del container. Il SO host viene abilitato mediante un runtime del container, gestito idealmente tramite un sistema di orchestrazione. Per rendere la piattaforma containerizzata resiliente, lo spazio dei nomi di rete viene usato per isolare applicazioni e ambienti; lo storage viene connesso tramite montaggi protetti. Una soluzione di gestione delle API deve includere funzionalità di autenticazione e autorizzazione, integrazione LDAP, controlli dell'accesso agli end point e limitazione della velocità.

Per decidere come difendere l'infrastruttura dei container, tenere conto dei seguenti aspetti:

  • Quali container devono poter accedere ad altri? In che modo vengono rilevati?

  • Come viene effettuato il controllo degli accessi e la gestione delle risorse condivise (ad esempio rete e storage)?

  • Come vengono gestiti gli aggiornamenti dell'host? Tutti i container devono essere aggiornati nello stesso momento?

  • In che modo viene monitorata l'integrità del container?

  • In che modo avviene la scalabilità automatica della capacità applicativa per soddisfare la domanda?


Possiamo aiutarti

La soluzione Red Hat® OpenShift Container Platform è inclusa in Red Hat Enterprise Linux®. Automatizza il ciclo di vita dell'applicazione containerizzata, integra la sicurezza nel flusso del container ed è progettata per i team DevOps. Il catalogo dei container consente di accedere a numerose immagini certificate, runtime di linguaggio, database e middleware che possono essere eseguiti ovunque venga eseguito Red Hat Enterprise Linux. Le immagini Red Hat sono sempre firmate e verificate, per confermarne provenienza e integrità.

Red Hat monitora le immagini container per individuare vulnerabilità recenti appena riscontrate (con un indice di integrità costantemente aggiornato e pubblicamente visibile) e rilascia aggiornamenti della sicurezza e container ricostruiti e pubblicati nel registro pubblico.

Offre inoltre molto altro materiale utile:

  • Orchestrazione e gestione di container web scale
  • Console web completa con funzionalità di collaborazione multi utente
  • Interfacce CLI e IDE
  • Automazione di build e source to image
  • Integrazione con CI
  • Automazione del deployment
  • Supporto per volumi di storage remoti
  • Installazione e amministrazione semplificate
  • Grande raccolta di linguaggi di programmazione, framework e servizi supportati

Fai il primo passo

Cloud computing

OpenShift consente di creare, sviluppare ed eseguire il deployment con rapidità e semplicità, in infrastrutture pubbliche o private.

Piattaforme Linux

Red Hat Enterprise Linux è una base stabile e versatile per eseguire il roll out di nuove applicazioni, virtualizzare ambienti e creare un cloud ibrido sicuro, il tutto con il nostro supporto pluripremiato.


Scopri altri vantaggi offerti dalla sicurezza dei container