Per molto tempo, il concetto di “infrastruttura” è rimasto relativamente invariato: firewall, router, server, desktop e così via hanno da sempre costituito la maggior parte dell’infrastruttura IT aziendale, eppure, negli ultimi anni, le cose hanno iniziato a cambiare, la virtualizzazione è ormai onnipresente, offrendo ai reparti IT la possibilità di creare, modificare o eliminare nuove macchine in pochi istanti e ottimizzando le risorse hardware a disposizione, con grandi blocchi di processi e applicazioni critiche che vengono eseguiti in servizi cloud come Amazon Web Services (AWS) e Microsoft Azure, permettendo ai container di semplificare la creazione e il lancio di applicazioni di grandi dimensioni su qualsiasi infrastruttura, ma quello che manca è una soluzione di gestione delle vulnerabilità come InsightVM, per la copertura della security e dei rischi.
Da tutti questi miglioramenti alla flessibilità e all’efficienza, derivano però ulteriori rischi. L’infrastruttura IT non è più custodita all’interno di una stanza nel seminterrato dell’edificio, è invece una continua trasformazione e spostamento di dispositivi virtuali verso il Cloud, tutti potenzialmente vulnerabili. Per questo motivo InsightVM, la soluzione di gestione delle vulnerabilità di Rapid7, fornisce la capacità di comprendere e valutare le reti moderne e in continua evoluzione, gestendo ache la sicurezza dei container.
Problemi di sicurezza del container
La tecnologia dei container è cresciuta a passi da gigante negli ultimi anni; ha fatto molta strada dai tempi di Solaris Zones, perchè la containerizzazione sposta non solo la filosofia, il processo e la velocità di implementazione, ma soprattutto la proprietà delle risorse IT. Quello che una volta era un chiaro divario tra il proprietario di risorse IT e lo sviluppatore di software/fornitore di servizi ora potrebbe essere sfocato. Gli sviluppatori di software utilizzano i container per gestire una distribuzione sempre maggiore di applicazioni, il che significa che l’IT diventa sempre meno responsabile dell’applicazione di patch alle librerie e ai pacchetti software dipendenti. Quando vengono spedite all’interno del contenitore, le dipendenze software non sono più gestite dal sistema operativo host ma dall’ambiente del contenitore di runtime, gli sviluppatori di applicazioni riescono quindi ad essere più efficienti, mentre i team IT hanno meno controllo e meno visibilità, senza alcuna riduzione di responsabilità.
Da grandi efficienze deriva un grande rischio
Nella storia delle infrastrutture, i container sono solo un’altra tecnologia con cui i team di sicurezza devono fare i conti. Ma hanno anche alcune caratteristiche uniche che cambiano il comportamento, nello specifico:
- I container sono effimeri. Fanno muovere più velocemente le moderne infrastrutture. Secondo DataDog, “i container hanno una durata media di 2,5 giorni, mentre in tutte le aziende, le VM tradizionali e basate su cloud hanno una durata media di 23 giorni“.
- Gli host dei container possono essere densamente pieni di rischi. Proprio come i loro parenti hypervisor, gli host di container possono eseguire qualsiasi carico di lavoro e, quindi, assumersi qualsiasi rischio.
- I container sono progettati per essere mescolati e abbinati in una miriade di modi. I container non sono risorse, né sono applicazioni aziendali. Le immagini del container sono elementi costitutivi immutabili, definiti dal loro hash crittografico.
Quando si combinano i fattori descritti sopra, diventa chiaro che la protezione della tecnologia dei container è diversa dalla protezione di un server, sia esso fisico o virtuale.
Protezione dei container con InsightVM
Rapid7 ha da subito lavorato sulle funzionalità di InsightVM per consentire di valutare e contenere questo rischio in 3 modi principali:
1. Scoperta: InsightVM aumenta la visibilità di dove risiedono gli host Docker, in modo da sapere da dove iniziare a concentrare gli soforzi per contenere il rischio dato del container, identificando anche le immagini del container, in esecuzione o interrotte, rendendole completamente ricercabili tramite hash crittografico o metadati del container.
Le soluzioni semplici e di facile comprensione spesso sono vincenti per i team IT, spesso sottodimensionati, consentendo ai clienti una facile e veloce scoperta dei container Docker nel loro ambiente e di comprendere la superficie di attacco reale.
2. Configurazione: InsightVM identificherà gli host dei container che non sono conformi ai benchmark CIS per i sistemi operativi comuni e lo stesso Docker, combinandoli con vulnerabilità e soluzioni di prima classe create per i team IT, permettendo di confermare che gli host container, che presentano una diversa superficie di attacco, sono configurati in modo sicuro e privi di vulnerabilità e che le attività di riduzione del rischio su qualsiasi container che viene eseguito sull’host abbiano avuto esito positivo.
3. Valutazione: InsightVM offre un servizio di valutazione dei container completamente integrato, fornendo visibilità sulle vulnerabilità e sui rischi associati ai componenti e ai livelli di un container. Ciò include la ricerca completa tramite hash crittografico o metadati del contenitore.
Con queste funzionalità, InsightVM consente di:
- Eseguire la valutazione della vulnerabilità sull’immagine del container mentre viene distribuita ed è in produzione.
- Eseguire la valutazione della vulnerabilità sull’immagine del container così come è stata creata, prima della distribuzione.
I team di sicurezza che hanno solide partnership per lo sviluppo di applicazioni possono integrarsi direttamente nelle pipeline DevOps (es. CI/CD). Ma per coloro che non godono di tale visibilità o relazioni con i team di sviluppo, è ugualmente possibile raccogliere e valutare un’immagine del container così come esiste sull’host del container stesso.
Visibilità dell’immagine del contenitore
InsightVM è progettato per fornire visibilità dell’infrastruttura IT moderna; è l’unica soluzione che si integra direttamente con Azure, AWS e VMware per monitorare automaticamente e dinamicamente gli ambienti, alla ricerca di nuove risorse e vulnerabilità. Ora, questa visibilità si estende alle vulnerabilità che risiedono all’interno delle immagini dei container Docker.
Durante l’esecuzione di scansioni per le vulnerabilità, InsightVM raccoglie informazioni di configurazione sugli host Docker e sulle immagini distribuite sull’host. Uno dei nuovi modi in cui InsightVM rende disponibili queste informazioni è tramite Liveboards, una visualizzazione dashboard che viene aggiornata in tempo reale.
è possibile aggiungere la “Container Dashboard” per ottenere una visualizzazione rapida o aggiungere “Card” specifiche per creare la propria visualizzazione.
Queste Card forniscono informazioni sul potenziale rischio rappresentato dai container nel proprio ambiente, come ad esempio:
- Quanti host container esistono nell’ambiente?
- Quali risorse sono host container?
- Quante delle immagini del contenitore sono state valutate per le vulnerabilità?
- Quali sono le immagini container più comunemente distribuite?
- Quali sono le immagini più vulnerabili?
- Qaunte risorse per ogni container?
Espandendo ognuno di queste Card, è possibile vedere i dettagli delle risorse che sono state identificate come host Docker.
e tramite i filtri dedicati, è possibile personalizzare la visualizzazioni in base ai metadati dell’immagine del container:
avendo la possibilità di approfondire ogni singolo host e visualizzare le immagini del container che risiede sull’host.
InsightVM fornisce inoltre una semplice visibilità nelle stesse immagini del container, nell’imamgine seguente vediamo una vista delle vulnerabilità sui pacchetti, dalla quale possiamo anche esplorare le specifiche dei livelli che compongono un’immagine container.
Con InsightVM, ottenere visibilità sulle immagini dei container è facile, tuttavia, la maggior parte dei team di sviluppo che lavorano con i container fa un uso massiccio dei repository di container.
Valutazione automatica dei registri dei container
Al fine di ottenere visibilità sui rischi dei container presenti in un’ambiente, InsightVM offre l’integrazione con i registri dei container per avere visibilità sulle immagini dei container ospitate in registri pubblici e privati.
InsightVM è configurato per impostazione predefinita con connessioni a Docker Hub e Quay.io, ma possono essere create connessioni aggiuntive:
I registri possono contenere molte immagini e InsightVM valuta automaticamente le immagini del contenitore nella rete all’interno di un registro, e quando un’immagine dal repository viene distribuita, InsightVM fornirà visibilità sulle vulnerabilità e sulla configurazione dell’immagine.
Scopri “Container Registry Sync”
Container Registry Sync è un’immagine Docker che raccoglie i metadati su un’immagine all’interno del registro contenitori, aggiungendo la possibilità di valutare le immagini archiviate nei registri locali.
La sincronizzazione del registro del contenitore può essere eseguita localmente dove le informazioni vengono inviate dall’immagine del contenitore a InsightVM per la valutazione, ciò elimina la necessità di consentire le connessioni in entrata dal cloud InsightVM.
è possibile utilizzare Container Registry Sync per:
- Valutare le immagini dei contenitori archiviate nei registri locali senza aprire la rete a InsightVM.
- Gestire facilmente i controlli di sicurezza per il trasferimento dei dati in uscita rispetto al trasferimento dei dati in entrata.
- Inviare solo i metadati dell’immagine a InsightVM, in modo che i dati proprietari non lascino mai la rete.
- Usare meno larghezza di banda rispetto alle connessioni del registro.
Durante la prima scansione, l’applicazione eseguirà il fingerprint di tutte le immagini contrassegnate da un registro connesso, indipendentemente dal fatto che sia associato a un contenitore in esecuzione. Le scansioni ricorrenti verranno eseguite ogni ora per impostazione predefinita, salvo diversa indicazione, da adesso, solo le nuove fingerprint verranno inviate a InsightVM, il che significa meno trasferimento di dati e risultati più rapidi. Una volta raccolte le fingerprint, queste vengono inviate alla piattaforma Rapid7 Insight per essere immediatamente valutate.
Scopri Container Image Scanner
Il plug-in Jenkins di InsightVM è un ottimo modo per garantire che le immagini dei container vulnerabili non entrino mai in produzione, ma cosa succede se non stai usando Jenkins? Il nuovo Container Image Scanner, che è di per sé un contenitore, è facile da sfruttare come parte di un workflow automatizzato per la valutazione del container, è sufficiente passare un file tar dell’immagine del container per eseguire una valutazione e inviare i risultati a InsightVM, utilizzandolo per:
- Automatizza i workflow di valutazione delle immagini dei container.
- Inviare dati di valutazione al cloud InsightVM per l’analisi delle vulnerabilità.
- Ricevere risultati istantaneamente in modo che i team possao decidere se una build può procedere.
è possibile scegliere di utilizzare lo scanner per la scansione automatica di tutte le tue immagini costruite in una pipeline CI/CD, oppure usarlo manualmente per scansioni una tantum, a seconda delle esigenze.
Per informazioni più dettagliate sull’utilizzo di queste funzionalità in InsightVM, approfondisci come InsightVM permette di lavorare con i Container o contattaci per aiutarti provare gratuitamente InsightVM per una completa valutazione.
