I container hanno una durata breve e sono unici nella loro orchestrazione grazie alla loro portabilità, alla loro natura leggera e alla loro capacità di incapsulare le dipendenze. Condividono il kernel del sistema operativo host, supportano i microservizi e sono noti per essere scalabili, il che significa che possono introdurre nuove vulnerabilità.
Le vulnerabilità di sicurezza dei container ampliano le superfici di attacco e possono mettere a rischio le informazioni sensibili aprendo l'accesso a risorse riservate. Non tutti i rischi di sicurezza dei container possono essere affrontati a livello di orchestrazione ed è importante gestire le minacce per i singoli container.
Seguire le pratiche standard DevSecOps è un buon inizio e ridurre al minimo i rischi significa che le aziende devono seguire le migliori pratiche di sicurezza dei container. In questa guida esploreremo le principali vulnerabilità di sicurezza dei container e vi forniremo una panoramica di tutto ciò che dovete sapere al riguardo.
Cosa sono le vulnerabilità di sicurezza dei container?
Le vulnerabilità della sicurezza dei container sono potenziali punti deboli, lacune o anomalie nella configurazione o nel funzionamento delle tecnologie dei container. Queste possono essere porte d'accesso per ospiti indesiderati che vogliono intrufolarsi, manomettere i dati o interferire con le applicazioni in esecuzione in questi container. Nel mondo dello sviluppo software e dell'IT, queste vulnerabilità della sicurezza dei container possono creare problemi gravi come fughe di dati riservati, interruzioni del servizio o persino il completo dirottamento del sistema.
Nei normali ambienti basati sulla virtualizzazione, ogni macchina virtuale (VM) ha il proprio sistema operativo (OS). Ma i container? Tutti condividono lo stesso kernel del sistema operativo. Quindi, una vulnerabilità in un container potrebbe influenzare gli altri sullo stesso host. Ecco perché è estremamente importante disporre di una solida strategia di sicurezza dei container preparata per tutti i tipi di minacce. Queste vulnerabilità di sicurezza dei container possono manifestarsi in qualsiasi fase del ciclo di vita dei container, dalla creazione delle immagini dei container alla loro distribuzione e al loro runtime. Pertanto, dobbiamo tenere gli occhi ben aperti in ogni momento per individuarle e risolverle.
Tipi di vulnerabilità di sicurezza dei container
Ecco i principali tipi di vulnerabilità di sicurezza dei container:
Vulnerabilità nelle immagini dei container
Le vulnerabilità nelle immagini dei container includono dipendenze non sicure, software obsoleto e configurazioni errate delle immagini. È inoltre possibile che queste immagini contengano immagini dannose, backdoor e codice dannoso incorporato e distribuito con esse. C'è anche il problema dell'eccessiva stratificazione che può aumentare le dimensioni dell'immagine del container e le potenziali superfici di attacco.
Configurazioni non sicure
I container possono avere porte aperte o immagini non sicure. Le configurazioni non sicure dei container includono anche impostazioni e pratiche inadeguate utilizzate negli ambienti container. Anche le impostazioni predefinite potrebbero non essere sufficientemente protette. C'è poi il problema dei software obsoleti e dei componenti dannosi. Gli utenti potrebbero non impostare limiti all'utilizzo della CPU, della memoria o del disco.
Autorizzazioni eccessive
Si possono verificare problemi di sicurezza come l'esecuzione di container con privilegi di root o l'escalation dei privilegi. Privilegi eccessivi possono compromettere i container e consentire agli aggressori di assumere il controllo della macchina host.
Segreti esposti
I segreti esposti si riferiscono a informazioni sensibili, come chiavi API, credenziali, certificati e token, incorporati direttamente nelle immagini dei container o nei file di configurazione. Questi segreti possono essere accidentalmente sottoposti al controllo di versione o lasciati nelle variabili di ambiente, rendendoli accessibili a soggetti non autorizzati. Una volta esposti, gli aggressori possono sfruttare queste credenziali per accedere a servizi back-end, database o risorse cloud, causando potenzialmente violazioni dei dati e interruzioni del servizio.
Configurazioni di rete non sicure
Le configurazioni di rete non sicure si verificano quando i container sono collegati con politiche di rete eccessivamente permissive o reti bridge predefinite. Ai container possono essere assegnati IP pubblici, porte aperte o ampi intervalli CIDR senza un'adeguata segmentazione. Regole firewall deboli e la mancanza di microsegmentazione consentono il movimento laterale tra container e sistemi host. Questa configurazione errata aumenta la superficie di attacco, consentendo agli aggressori di intercettare il traffico, sfruttare servizi non aggiornati o lanciare attacchi denial-of-service.
Configurazioni errate dell'orchestratore
Le configurazioni errate dell'orchestratore si verificano in piattaforme come Kubernetes, Docker Swarm o OpenShift quando le impostazioni predefinite rimangono invariate o le politiche RBAC sono troppo permissive. Esempi includono l'utilizzo dello spazio dei nomi "predefinito" per carichi di lavoro critici, la concessione di ruoli di amministratore di cluster agli account di servizio o la mancata applicazione delle politiche di sicurezza dei pod. Tali sviste possono portare a distribuzioni non autorizzate, escalation di privilegi e consumo incontrollato di risorse, compromettendo sia la sicurezza che la stabilità dell'ambiente container.
Vulnerabilità di runtime e breakout dei container
Le vulnerabilità di runtime e i breakout dei container comportano difetti nei runtime dei container o nei kernel sottostanti che consentono al codice all'interno di un container di sfuggire all'isolamento. Gli aggressori sfruttano tali vulnerabilità, come CVE-2020-14386 in runc, per ottenere l'accesso root sull'host. Altri rischi derivano da componenti di runtime dei container non aggiornati, dall'uso non sicuro dei mount dell'host o dai container privilegiati. Le fughe riuscite compromettono la macchina host, consentendo agli aggressori di manomettere altri container o lo stesso orchestratore.
Vulnerabilità della catena di fornitura
Le vulnerabilità della catena di fornitura comprendono i rischi introdotti in ogni fase del ciclo di vita dei container: dalle immagini di base di terze parti, alle pipeline di compilazione, agli strumenti di distribuzione. È possibile che venga iniettato codice dannoso nelle immagini di base o negli script CI/CD, mentre i registri di immagini non verificati potrebbero ospitare artefatti trojanizzati. La mancanza di firma delle immagini, scansione delle vulnerabilità e verifica della provenienza consente agli aggressori di introdurre backdoor o dipendenze compromesse. Queste minacce nascoste possono propagarsi in tutti gli ambienti, influenzando lo sviluppo, lo staging e la produzione.
Come può aiutare SentinelOne può essere d'aiuto?
Singularity Cloud Workload Security (CWS) è una piattaforma di protezione dei carichi di lavoro cloud (CWPP) che difende i carichi di lavoro containerizzati su AWS, Azure, Google Cloud e data center privati utilizzando il rilevamento delle minacce basato sull'intelligenza artificiale e fornendo risposte alla velocità della macchina. Con CWS è possibile rilevare le variazioni di configurazione dei container associate ai carichi di lavoro cloud. È inoltre possibile accedere a una ricca cronologia forense della telemetria dei carichi di lavoro e dei registri dei dati necessari per indagare sugli incidenti e ridurre i tempi di risposta.
SentinelOne Singularity™ Cloud Native Security supporta la scansione di macchine virtuali, carichi di lavoro, immagini di container e registri. È possibile identificare oltre 750 tipi di segreti hardcoded nei repository di codice e impedirne la fuga.
La soluzione Kubernetes Security Posture Management (KSPM) di SentinelOne protegge i cluster e i carichi di lavoro Kubernetes, riducendo gli errori umani e minimizzando gli interventi manuali.
Consente di applicare standard di sicurezza, come le politiche di controllo degli accessi basate sui ruoli (RBAC), e di rilevare, valutare e correggere automaticamente le violazioni delle politiche nell'ambiente Kubernetes. Inoltre, semplifica la sicurezza cloud-native e si allinea a framework quali il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA) e i benchmark del Center for Internet Security (CIS).
Vedere SentinelOne in azione
Scoprite come la sicurezza del cloud basata sull'intelligenza artificiale può proteggere la vostra organizzazione con una demo individuale con un esperto dei prodotti SentinelOne.
Richiedi una demoConclusione
SentinelOne si distingue come leader nella sicurezza cloud ed è un partner affidabile nella risoluzione dei problemi di sicurezza dei container. Che si tratti di individuare anomalie di configurazione, scoprire segreti nascosti o sorvegliare costantemente il panorama dei container, SentinelOne è lì per garantire che la vostra azienda rimanga un passo avanti rispetto ai potenziali pericoli.
Proteggete oggi stesso i vostri ecosistemi di container e approfittate delle offerte di SentinelOne.
"Domande frequenti sulle vulnerabilità di sicurezza dei container
Le vulnerabilità di sicurezza dei container sono punti deboli nella configurazione o nel funzionamento delle tecnologie dei container che gli aggressori possono sfruttare per ottenere accessi non autorizzati, rubare dati o compromettere i sistemi. Queste vulnerabilità possono presentarsi nelle immagini dei container, negli ambienti di runtime o nelle piattaforme di orchestrazione come Kubernetes.
Poiché i container condividono lo stesso kernel del sistema operativo, una vulnerabilità in un container potrebbe influire sugli altri presenti sullo stesso host.
Le vulnerabilità comuni includono pacchetti software obsoleti con difetti di sicurezza noti, segreti hardcoded come password e chiavi API, codice dannoso proveniente da attacchi alla catena di fornitura e immagini di base non sicure provenienti da registri non affidabili.
Troverete anche dipendenze e librerie vulnerabili che vengono importate durante il processo di compilazione. Questi problemi possono esporre i container a violazioni quando vengono distribuiti in produzione.
Le configurazioni errate creano percorsi diretti che consentono agli aggressori di sfruttare i container e potenzialmente di fuggire nel sistema host. I problemi più comuni includono l'esecuzione di container con privilegi di root, l'esposizione di porte non necessarie a Internet, l'utilizzo di password predefinite e il montaggio di directory host sensibili.
Questi semplici errori possono portare all'escalation dei privilegi, alla violazione dei dati e alla compromissione completa del sistema. Spesso sono più facili da sfruttare rispetto alle vulnerabilità del codice.
