可檢視性概觀
可檢視性 在整個容器供應鏈中扮演角色,方法是提供從取得到建置到部署和執行的各種階段的可見度、監視和控制。 對於瞭解容器化應用程式的生命週期、其所經歷的供應鏈的各個階段、其相依的元件,以及參與其建立的動作專案而言,這一點非常重要。 透過可觀察性,企業可以找出容器供應鏈安全性的差距、在事件回應期間回答重要問題,甚至防止不安全的容器部署在生產環境中。
作為 Microsoft 容器安全供應鏈 (CSSC) 架構的重要元件, Observability 可識別一組容器化應用程式的最佳做法和指導方針。 在本文中,您將瞭解容器安全供應鏈可觀察性的背景、目標和目標。
背景
在現今的企業環境中,容器化應用程式是使用由不同小組管理的各種工具來建置和部署。 這些工具的可檢視性數據通常是孤立的,因此很難追蹤容器化應用程式的生命週期。 這種缺乏可見度使得很難找出供應鏈安全性的差距,並偵測潛在的安全性問題。
CSSC 架構的可觀察性元件建議一組最佳做法和指導方針,從容器供應鏈的各個階段擷取基本數據。 此數據可用來建立容器化應用程式生命週期中的常見步驟,並偵測可能為入侵指標的異常(IoC)。
建議做法
Microsoft 建議在容器供應鏈的每個階段實作可觀察性。 每個階段的可檢視性數據都應該整合到單一系統,以提供供應鏈的整體檢視。 人工智慧可以將不同階段的數據相互關聯,並識別可用來偵測異常並防止安全性事件的模式。
應透過詳細的報告和警示功能來增強可檢視性。 報告可協助小組瞭解其目前的安全性狀態,並進行改進,同時協助他們符合合規性需求。 及時警示可疑行為可能會防止安全性事件,並減少缺口的影響。
Microsoft 建議至少擷取下列可觀察性數據:
- 外部容器映像的來源、版本和弱點狀態,可用來評估外部相依性的風險。
- 使用者要求和核准使用可識別潛在內部威脅的外部影像的活動。
- 弱點和惡意代碼掃描的日期和時間,以確保其會定期執行,並避免過時的數據。
- 在組建和部署管線中使用外部映像,以量化外部相依性的風險。
- 建置詳細數據,例如原始程式碼位置、組建環境和組建成品,以確保組建符合規範。
- 部署詳細數據,例如部署環境、部署成品和部署組態,以確保部署符合規範
- 運行時間詳細數據,例如運行時間環境、運行時間成品、運行時間組態和運行時間行為,以確保不會偏離預期的行為。
上述可觀察性數據可以與其他來自 安全性資訊和事件管理 (SIEM) 系統的數據相互關聯,例如防火牆記錄、網路流量和用戶活動,以偵測模式並識別潛在的安全性事件。
可觀察性的安全性目標
在每個階段內實作可檢視性對於識別差距和防止容器供應鏈中的安全性事件至關重要。 CSSC 架構的可檢視性元件旨在滿足下列安全性目標。
偵測威脅和惡意行為
對軟體供應鏈的攻擊變得越來越常見和複雜。 目前的監視工具僅限於在單一供應鏈階段內監視系統,而忽略容器生命週期的整體內容。 企業可能會依賴定期或手動檢查,這在識別持續威脅或快速演變的攻擊模式方面效率較低。
在容器的供應鏈上實作端對端可檢視性,可協助安全性小組全面檢視供應鏈,並找出潛在的威脅和惡意行為。
簡化合規性
雲端原生應用程式會以全域規模部署,並包含大量資產。 部署容器的可見度有限、使用的來源為何,以及其安全性狀態為何,使得難以符合合規性需求。 庫存不足也防止企業快速量化重大弱點的影響,並採取行動。
擷取容器供應鏈每個階段的可觀察性數據,可協助企業建置其容器資產的完整清查,並建立可用來快速評估風險並傳遞合規性報告的相依性圖表。
協助處理事件回應
缺乏可觀察性可藉由延遲偵測、限制可見度、增加手動工作負載,以及降低回應措施的效率與有效性,來阻礙事件回應工作。 如果沒有容器端對端供應鏈的完整檢視,事件回應者可能缺乏重要資訊,因此很難評估事件的嚴重性,並制定有效的回應策略。
將容器供應鏈各個階段的可觀察性數據相互關聯,可協助事件回應者做出更好的決策,並更快地回應安全性事件。
建議的工具
Microsoft 提供一組工具和服務,可用來在容器供應鏈中實作可觀察性。
Azure Container Registry (ACR) 稽核和診斷記錄 提供登錄上執行之所有作業的詳細稽核和活動記錄。 記錄和整合數據可以與 Azure 監視器中的其他可檢視性數據相互關聯。
適用於 DevOps 的 Microsoft Defender 提供使用 Azure DevOps 和 GitHub 的小組 DevOps 安全性狀態的統一可見度。 適用於 DevOps 的 Defender 可協助您探索部署設定錯誤、公開的秘密,以及在 GitHub 和 Azure DevOps 中使用安全性資訊標註提取要求。