Iworld.com.vn gửi tới độc giả tin tức về vùng chứa an ninh

Định nghĩa

Bảo mật vùng chứa là việc sử dụng các công cụ và chính sách bảo mật để bảo vệ vùng chứa, ứng dụng và hiệu suất của nó, bao gồm cơ sở hạ tầng, chuỗi cung ứng phần mềm, công cụ hệ thống, thư viện hệ thống và thời gian để chống lại các mối đe dọa an ninh mạng.

Để tìm hiểu thêm về vùng chứa, hãy xem video của chúng tôi về Vùng chứa là gì?

Những thách thức của Vùng chứa an ninh là gì?

Các vùng chứa sống trong một hệ sinh thái, các vùng chứa không được triển khai độc lập trong một doanh nghiệp. Khối lượng công việc vùng chứa được triển khai như một phần của cấu ​​trúc, có thể bao gồm: đám mây công cộng (AWS, GCP, Azure), đám mây riêng (VMware) và đám mây hỗn hợp, được tích hợp với máy chủ và máy ảo, khi làm việc với các máy tính độc lập . Các doanh nghiệp này cũng có thể đang sử dụng các dịch vụ IaaS và PaaS như nhóm S3 hoặc RDS. Do đó, khối lượng công việc của vùng chứa cần được bảo đảm như một phần của hệ sinh thái doanh nghiệp.

Chu kỳ vùng chứa : Vòng đời của vùng chứa an ninh thường được tính bằng giây, nhưng cũng có mức độ biến động cao gây khó khăn cho việc khái quát hoá. Các nhóm bảo mật cần tính đến tính bảo mật và tính toàn vẹn của các vùng chứa, có thể chỉ trực tuyến trong vài giây và những vùng chứa khác có thể trực tuyến trong nhiều tuần.

Các vùng chứa được xây dựng và triển khai trong CI, CD DevOps Pipelines. Khối lượng công việc vùng chứa có xu hướng được dẫn dắt bởi nhà phát triển. Thách thức đối với bảo mật là trao quyền cho các nhà phát triển sản xuất các ứng dụng BornSecure.

MVISION Cloud for Container Security là gì?

MVISION Cloud for Container Security được định vị duy nhất, để cung cấp nền tảng bảo mật đám mây thống nhất toàn diện cho các ứng dụng gốc đám mây, và chuyển đổi DevOps thành DevSecOps, bằng cách tích hợp kiểm tra bảo mật vào chuỗi cho nhà phát triển, để giúp họ tạo các ứng dụng an toàn và sẵn sàng cho đám mây, đồng thời đưa thông tin liên lạc cho vùng chứa và các dịch vụ vi mô và vùng chứa bảo mật với chuỗi Nano phân đoạn của mạng dựa trên công nghệ Zero-Trust cao.

Ba trụ cột của MVISION Cloud for Container Security là gì?

Quản lý tính sẵn sàng bảo mật đám mây (CSPM)

CSPM cho vùng chứa

MVISION Cloud có thể cung cấp các bản quét điểm chuẩn CIS và các đánh giá thực tiễn tốt nhất khác về thời gian chạy hoạt động, hệ thống điều phối (chẳng hạn như Kubernetes), cơ sở hạ tầng IaaS để vận hành một khối lượng công việc, cấu hình lưu trữ, cấu hình mạng và cài đặt IAM… Điều này giúp:

  • Đảm bảo rằng cấu hình của môi trường không phải là nguồn rủi ro (CSPM)
  • Đảm bảo rằng cấu hình của môi trường không bị trôi theo thời gian, gây ra rủi ro không mong muốn

Quét lỗ hổng bảo mật để tìm vùng chứa

Vùng chứa tận dụng đáng kể các thành phần của bên thứ ba. Tất cả các thành phần của việc xây dựng vùng chứa phải được đánh giá, xem có bất kỳ điểm yếu nào đã biết hoặc có thể khai thác được hay không.

Tính năng quét lỗ hổng bảo mật đánh giá các thành phần được nhúng, trong các vùng chứa tại thời điểm xây dựng và được quét định kỳ để đảm bảo rằng các rủi ro đã biết, được phát hiện và giảm thiểu nguy cơ từ các tác nhân độc hại ảnh hưởng đến khối lượng công việc của vùng chứa.

NanoSegmentation và Zero-Trust Network Protection

Khám phá các giao tiếp giữa các vùng chứa dựa trên các cấu hình tốt đã biết, để đảm bảo kiểm soát hành vi công việc như sau:

  • Phát hiện và giám sát hành vi mạng giữa các quá trình vùng chứa, theo cách có thể đối phó với đặc tính của vùng chứa và không dựa vào các yếu tố bên ngoài như địa chỉ IP.
  • Phát hiện thông tin liên lạc bất thường và thông báo hoặc chặn dựa trên sở thích của người dùng.
  • Phát hiện những thay đổi trong mẫu giao tiếp giữa các phiên bản của vùng chứa khi ứng dụng phát triển theo thời gian.
  • Tận dụng các cấu hình tốt đã biết như một cách để đảm bảo khối lượng công việc, trái ngược với việc theo kịp các cấu hình xấu đã biết.

Những nền tảng nào được hỗ trợ bởi MVISION Cloud for Containers?

MVISION Cloud for Containers hỗ trợ cơ sở hạ tầng đám mây AWS (ECS, EKS, Fargate ECS, Fargate EKS), GCP (GKE), Azure (AKS) và hệ thống điều phối bao gồm Kubernetes.

  • ECS là gì: Enterprise Container Platform S/W Suite cho Amazon sử dụng điều phối độc quyền trước khi áp dụng rộng rãi K8S
  • EKS là gì: Enterprise Container Platform S/W Suite cho Amazon dựa trên K8S
  • AKS là gì: Enterprise Container Platform S/W Suite cho Azure dựa trên K8S
  • Kubernetes là gì (K8S): Kubernetes là một hệ thống điều phối vùng chứa mã nguồn mở. Nó cung cấp một nền tảng để tự động hóa việc triển khai, mở rộng quy mô và hoạt động của các vùng chứa ứng dụng trên các cụm máy chủ
  • Xem danh sách đầy đủ các thuật ngữ chú giải về an ninh vùng chứa

Giải pháp MVISION được ánh xạ theo vòng đời của vùng chứa

Bảo mật sẽ không làm chậm các nhà phát triển hoặc việc áp dụng các cấu ​​trúc thân thiện với đám mây như vùng chứa. MVISION Cloud cung cấp một nền tảng bảo mật tích hợp thống nhất, nó tích hợp với các công cụ mà các nhà phát triển chọn sử dụng, để duy trì các ứng dụng của họ. Bảo mật vùng chứa có thể cung cấp khả năng bảo vệ chuyên sâu, bằng cách đảm bảo cơ sở hạ tầng và công cụ điều phối được định cấu hình phù hợp, đánh giá rủi ro khai thác đối với mã nhúng trong vùng chứa và phương pháp được xác định bằng phần mềm linh hoạt, để xác nhận hành vi mạng tốt đã biết, có thể đối phó với môi trường thay đổi nhanh chóng của khối lượng công việc trong suốt vòng đời của chúng.

Trạng thái Shift-Left: DevOps sang DevSecOps

Vùng chứa là một loại khối lượng công việc tập trung vào nhà phát triển. Do các nhà phát triển có nhiều quyền kiểm soát trực tiếp hơn đối với cấu ​​trúc và dịch vụ đang được sử dụng, các nhóm bảo mật cần thiết lập chính sách, đánh giá việc triển khai theo các phương pháp hay nhất và theo dõi sự sai lệch không thể tránh khỏi xảy ra trong bất kỳ môi trường nào. Với các cấu trúc vùng chứa và microservice, số lượng biến và tốc độ thay đổi đã tăng lên đáng kể, so với việc triển khai dựa trên phần cứng hoặc máy ảo được kiểm soát chặt chẽ trước đây. Vòng đời của container thường được tính bằng giây, nhưng cũng có mức độ thay đổi cao khiến việc khái quát hóa tiềm ẩn nhiều nguy cơ. Các nhóm bảo mật cần tính đến tính bảo mật và tính toàn vẹn của các vùng chứa có thể chỉ trực tuyến trong vài giây và những vùng chứa khác có thể trực tuyến trong nhiều tuần liên tục. MVISION Cloud for Containers, cung cấp BornSecure Containers bao gồm:

  • Quản lý sự sẵn sàng trong bảo mật đám mây, để quét môi trường đám mây liên tục và phát hiện nguy cơ được tích hợp vào đường dẫn DevOps (Shift Left), qua đó đảm bảo rằng rủi ro được giải quyết trước khi triển khai.
  • Đánh giá tính dễ bị tổn thương của các thành phần bên trong vùng chứa, để đảm bảo rằng các doanh nghiệp không triển khai mã hóa với các vùng đã biết, được tích hợp vào đường dẫn DevOps (Shift Left). MVISION Cloud for Containers cũng bao gồm việc quét lại định kỳ, để phát hiện lỗ hổng mới ảnh hưởng đến các vùng chứa đã được xây dựng và có thể đang chạy trong quá trình sản xuất.

Quy trình DevOps cũ: Bảo mật không được tính đến hoặc xác minh cho đến sau khi các ứng dụng được triển khai đến môi trường sản xuất.

Ngày nay, các ứng dụng gốc đám mây yêu cầu BornSecure Containers, thực hiện bảo mật được nhúng trong đường dẫn DevOps, cung cấp cho các nhà phát triển phản hồi bảo mật khi ứng dụng được xây dựng hoặc khi mã được đăng ký.

Container Security 101 – Bảng chú giải thuật ngữ

AKS

Enterprise Container Platform S/W Suite cho Azure dựa trên K8S.

Sự bất thường

Một cái gì đó sai lệch so với những gì là tiêu chuẩn, bình thường hoặc được mong đợi.

Xây dựng

Xây dựng một cái gì có thể quan sát được và hữu hình. Xây dựng là quá trình chuyển đổi các tệp mã nguồn thành phần phần mềm độc lập, có thể chạy trên máy tính.

CICD

Thực hành kết hợp giữa tích hợp liên tục và phân phối liên tục.

Điểm chuẩn CIS

Các phương pháp hay nhất cho cấu hình an toàn của hệ thống, bao gồm vùng chứa và Kubernetes. Các điểm chuẩn được phát triển bởi một tổ chức phi lợi nhuận có tên là Trung tâm an ninh Internet (CIS), thông qua sự đồng thuận của các chuyên gia an ninh mạng.

Container

Tiêu chuẩn của phần mềm là phát triển mã, do đó ứng dụng chạy nhanh chóng và đáng tin cậy từ môi trường máy tính này sang môi trường máy tính khác. Hình ảnh vùng chứa là một gói phần mềm nhẹ, độc lập, có thể thực thi bao gồm mọi thứ cần thiết để chạy một ứng dụng: mã, thời gian chạy, công cụ hệ thống, thư viện hệ thống và cài đặt.

Cơ quan đăng ký vùng chứa

Một kho lưu trữ để lưu trữ các hình ảnh vùng chứa. Một hình ảnh vùng chứa bao gồm nhiều tệp, tập hợp trong một ứng dụng. Các nhà phát triển, người kiểm tra và hệ thống CI/CD cần sử dụng sổ đăng ký, để lưu trữ hình ảnh được tạo trong quá trình phát triển ứng dụng. Hình ảnh vùng chứa được đặt trong sổ đăng ký có thể được sử dụng trong các giai đoạn phát triển khác nhau.

Thời gian chạy vùng chứa

Phần mềm thực thi vùng chứa và quản lý hình ảnh vùng chứa trên một nút. ví dụ: Docker Engine.

DevOps

Một tập hợp các hoạt động kết hợp phát triển phần mềm (Dev) và hoạt động công nghệ thông tin (Ops), nhằm mục đích rút ngắn vòng đời phát triển hệ thống và cung cấp phân phối liên tục với chất lượng phần mềm cao.

DevSecOps

DevSecOps là thực hành tích hợp các phương pháp bảo mật trong quy trình DevOps.

Docker

Một công ty và tên của công cụ mà họ đã thiết kế để giúp tạo, triển khai và chạy các ứng dụng dễ dàng hơn bằng cách sử dụng vùng chứa.

Drift

Sự gia tăng của các thay đổi cấu hình hoặc các hành động quản trị theo thời gian, có thể dẫn đến rủi ro và sai lệch so với cấu hình đã biết.

EKS

Nền tảng vùng chứa doanh nghiệp S/W Suite cho Amazon dựa trên K8S. Nền tảng vùng chứa doanh nghiệp

ECS

S/W Suite cho Amazon sử dụng điều phối độc quyền trước khi áp dụng rộng rãi K8S.

Ephemeral

Thuộc tính được sử dụng để xác định vùng chứa. Vì các thùng chứa có tuổi thọ ngắn, với tuổi thọ trung bình tính bằng giờ.

Dấu vân tay

Khả năng theo dõi các hiện vật cũng như hành vi của các hiện vật, cho phép người dùng xem những gì đã xây dựng, cách thức và vị trí mà bản dựng đó đang được sử dụng.

Thẩm tra

Phân tích, kiểm tra các lỗ hổng để hiểu và ngăn chặn tác động của bất kỳ vi phạm an ninh nào. Nền tảng vùng chứa doanh nghiệp

GKE

S/W Suite cho Google dựa trên K8S.

Bất biến

Thuộc tính được sử dụng để xác định vùng chứa. Các vùng chứa riêng lẻ không thay đổi trong suốt vòng đời, sau khi được tạo.

K8S

Kubernetes đôi khi được gọi là k8s (K – tám ký tự – S).

Kubernetes (k8s)

Một hệ thống điều phối vùng chứa mã nguồn mở. Nó cung cấp một nền tảng để tự động hóa việc triển khai, mở rộng quy mô và hoạt động của các vùng chứa ứng dụng trên các cụm máy chủ.

Microsegmentation

Phần mềm Microsegmentation sử dụng công nghệ ảo hóa mạng, để tạo ra khu vực an ninh cao tại các trung tâm dữ liệu và triển khai điện toán đám mây, trong đó cô lập từng khối lượng công việc cá nhân và an toàn của nó riêng biệt.

Phân đoạn nano

Một phân đoạn linh hoạt và chi tiết dựa trên hành vi quan sát được.

Vùng ngoài tấn công mạng

Vùng ngoài tấn công bao gồm toàn bộ môi trường mà kẻ tấn công có thể cố gắng khai thác để thực hiện một cuộc tấn công thành công, bao gồm tất cả các giao thức, giao diện, phần mềm và dịch vụ được triển khai.

Pipeline

Một tập hợp các quy trình tự động cho phép các nhà phát triển và chuyên gia DevOps biên dịch, xây dựng và triển khai mã của họ một cách đáng tin cậy và hiệu quả trên nền tảng máy tính sản xuất của họ.

Đặc quyền

Là khái niệm chỉ cho phép người dùng thực hiện một số hoạt động nhất định. Ví dụ: một người dùng thường bị ngăn cản thay đổi các tệp hệ điều hành, trong khi quản trị viên hệ thống thường được phép làm như vậy.

Kho lưu trữ (repo)

Kho lưu trữ hình ảnh vùng chứa là một tập hợp các hình ảnh vùng chứa có liên quan, thường cung cấp các phiên bản khác nhau của cùng một ứng dụng hoặc dịch vụ.

Shift Left

Việc tích hợp cấu hình bảo mật và kiểm tra lỗ hổng bảo mật vào đường dẫn DevOps. Bảo mật được giới thiệu khi mã được kiểm tra hoặc xây dựng thay vì chờ hệ thống hoạt động. Điều này mang lại sự bảo mật cho môi trường sản xuất, nơi bảo mật, được thực hiện theo cách cũ.

Máy ảo (VM)

Một môi trường ảo hoạt động như một hệ thống máy tính ảo với CPU, bộ nhớ, giao diện mạng và bộ lưu trữ riêng, được tạo trên một hệ thống phần cứng vật lý.

Khối lượng công việc

Một khả năng hoặc khối lượng công việc rời rạc mà bạn muốn chạy trên một phiên bản đám mây.

Zero-Trust

Không bao giờ tin tưởng mà phải xác minh. Bảo mật không có nghĩa là không có ai để tin cậy, theo mặc định từ bên trong hoặc bên ngoài mạng và sự xác minh là bắt buộc từ tất cả những người cố gắng truy cập vào tài nguyên trên mạng.

Trân trọng cám ơn quý độc giả./.

Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html

Biên dịch: Lê Toản – Iworld.com.vn