I container — un'alternativa leggera alle macchine virtuali — sono alcune delle tecnologie cloud più ampiamente utilizzate associate a DevOps e allo sviluppo software agile oggi. Gran parte del clamore dietro la containerizzazione può essere attribuito alla sua agilità, flessibilità e sicurezza.
Tuttavia, i container presentano notevoli preoccupazioni e vulnerabilità di sicurezza in molte applicazioni. Fortunatamente, gli strumenti di sicurezza per container stanno guadagnando popolarità e aiutano i professionisti della sicurezza a affrontare il problema.
DevOps stimola l'aumento dell'uso dei container
DevOps è un approccio allo sviluppo software radicato nella produzione ad alta velocità, comunicazione costante e innovazione rapida. Sebbene molte tecnologie siano utilizzate dai team DevOps, i container sono uno dei mercati tecnologici fondamentali che consentono l'espansione di DevOps.
I container sono un modo per isolare e confezionare codice, dati e file in un'unità flessibile e sicura, isolata dalle risorse. Rendono più facile per gli sviluppatori confezionare, spedire e recuperare codice mentre aggiungono e aggiornano funzionalità alle loro applicazioni DevOps.
Molte aziende, da AWS a Tesla, stanno abbracciando la tecnologia dei container. I container Docker—la seconda piattaforma di gestione dei container più recensita su G2—sono stati scaricati oltre 100 miliardi di volte, hanno circa 750 clienti aziendali e alimentano quasi 6 milioni di app. Impressionante, Docker ha mantenuto la sua rapida crescita nonostante i giganti della tecnologia come AWS, IBM, Google e Microsoft siano entrati nel mercato.
"[Docker è uno] strumento indispensabile nel mondo di DevOps e amministrazione dei sistemi," Jennifer A, un ingegnere di sviluppo, ha detto dello strumento.
Docker ha rapidamente guadagnato trazione perché è incredibilmente scalabile, facile da creare, logico da gestire e fornisce un modo flessibile per supportare il networking definito dal software. È diventato uno standard per i team DevOps, ottenendo ampi elogi su G2. Al 6 settembre 2019, il prodotto ha recensioni da quasi 200 individui, 192 dei quali hanno valutato il prodotto con 4.0 o 5.0 stelle.
Vuoi saperne di più su Software di scansione delle vulnerabilità? Esplora i prodotti Scanner di vulnerabilità.
Preoccupazioni di sicurezza dei container non affrontate
I container hanno ancora importanti preoccupazioni di sicurezza che potrebbero mettere a rischio la tua azienda e i tuoi clienti.
All'inizio di quest'anno, Tripwire ha condotto un sondaggio che ha intervistato oltre 300 professionisti della sicurezza che gestiscono container in aziende di medie e grandi dimensioni. Secondo i risultati del sondaggio, il 94% degli intervistati aveva preoccupazioni riguardo ai container.
“Oltre il 60% dei principali file Docker conteneva una vulnerabilità che aveva un [punteggio di rischio] superiore a 330, e oltre il 20% dei file conteneva almeno una vulnerabilità che sarebbe considerata ad alto rischio secondo il modello di punteggio di Kenna e dovrebbe essere affrontata il prima possibile,” ha detto Jerry Gamblin, un ricercatore di Kenna Security.
Gamblin ha lanciato VulnerableContainers.org all'inizio di quest'estate; il sito fornisce informazioni relative ai 1.000 container più popolari da Docker Hub. Gamblin ha eseguito ciascun container attraverso uno scanner di vulnerabilità e ha pubblicato i suoi risultati online. I container con il maggior numero di vulnerabilità erano correlati a Node.js, DynamoDB e Rancher. Ogni container aveva milioni di download e oltre 1.100 vulnerabilità aperte.
Quasi tutti hanno detto di volere strumenti di sicurezza aggiuntivi, e quasi la metà sta limitando la produzione di container a causa delle preoccupazioni di sicurezza. Un certo numero di problemi potrebbe causare questi rischi di sicurezza.
I team e gli sviluppatori individuali hanno il maggior controllo sulle vulnerabilità relative ai componenti interni del container. Queste vulnerabilità sono tipicamente il risultato di tagging interno, pacchetti e librerie. Un piccolo problema, come un tag di immagine etichettato in modo errato, può esporre un'applicazione a centinaia di vulnerabilità.
Le vulnerabilità di terze parti sono un'altra grande preoccupazione. Queste possono essere scoperte utilizzando scanner di vulnerabilità, strumenti di monitoraggio e altre soluzioni di analisi del rischio di sicurezza. Possono anche essere evitate solo scaricando immagini verificate, richiedendo la verifica della firma delle immagini e applicando un controllo rigoroso degli accessi.
Il componente più importante da proteggere è il tuo kernel host, poiché i container funzionano su di essi. Per la maggior parte, il container è solitamente sicuro e isolato, a meno che non sia progettato male o manomesso da attori interni. Tuttavia, un sistema host compromesso renderà inutili le protezioni native.
Il futuro della sicurezza dei container
Le tecnologie emergenti mirano a affrontare alcuni problemi di sicurezza comuni associati alla containerizzazione. Di seguito sono riportati alcuni esempi di fornitori di software innovativi che sperano di capitalizzare il problema pressante delle vulnerabilità legate ai container non risolte.
Identità delle applicazioni che alimentano la sicurezza cloud zero trust
Aporeto, una startup di sicurezza cloud-native, sta cambiando il modo in cui i team guardano alla protezione dei container nel cloud. Invece degli approcci tradizionali basati su indirizzi IP, il suo nuovo prodotto consente l'applicazione distribuita delle politiche di sicurezza a livello di applicazione. È progettato per proteggere le distribuzioni Kubernetes multi-cluster con identità e politiche individuali per ciascuna applicazione o carico di lavoro.
Le tecnologie di sicurezza cloud tradizionali, d'altra parte, si basano sugli indirizzi IP per determinare le richieste di connessione di rete approvate e non approvate. Sebbene questo approccio possa aumentare il tempo trascorso a gestire e configurare i singoli firewall, a seconda della gamma e della scala delle tue applicazioni disparate, ridurrebbe drasticamente qualsiasi tempo trascorso a gestire le liste di controllo degli accessi IP.
Apprendimento automatico e AI per l'auto-protezione dei container
All'inizio di agosto, Sysdig ha annunciato nuove funzionalità del prodotto che consentono il rilevamento delle anomalie basato sull'apprendimento automatico e la profilazione runtime dei sistemi Kubernetes aziendali. Lo strumento aiuta i team DevOps e di sicurezza ad automatizzare la configurazione delle politiche di sicurezza dagli algoritmi di apprendimento automatico che elaborano le attività del file system, i comportamenti di rete e le chiamate di sistema.
Inoltre, lo strumento consente la scansione automatizzata delle vulnerabilità per la valutazione continua delle applicazioni, dei container e delle immagini del registro. Queste capacità impediscono ai team DevOps di mettere in produzione immagini contenenti vulnerabilità note, come quelle elencate su VulnerableContainers.org.
I monoliti IT che consumano startup di sicurezza dei container
Sebbene alcune aziende potrebbero non essere così innovative con i loro prodotti legacy, i fornitori di sicurezza di lunga data stanno acquistando startup di sicurezza dei container all'avanguardia. A maggio, Palo Alto Networks ha acquistato la startup di sicurezza dei container Twistlock per 410 milioni di dollari. L'acquisizione di 34 miliardi di dollari di Red Hat da parte di IBM a luglio sembra aver prodotto una nuova famiglia di soluzioni progettate per la gestione, il monitoraggio e la sicurezza dei container.
Più recentemente, McAfee ha annunciato la sua acquisizione di NanoSec, una soluzione di protezione del carico di lavoro delle applicazioni. McAfee ha detto che prevede di utilizzare la tecnologia sottostante di NanoSec per semplificare la configurazione delle politiche e il controllo degli accessi di rete all'interno dei suoi prodotti MVISION Cloud.
Fortunatamente, il giovane mercato della sicurezza dei container dovrebbe crescere da 1,5 miliardi a oltre 6 miliardi di dollari nei prossimi cinque anni, secondo Grand View Research. Speriamo che questo afflusso di denaro produca un mercato dinamico e innovativo di soluzioni per affrontare un altro problema di sicurezza emergente per il mondo in evoluzione delle applicazioni cloud.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
