Container e open source per mitigare le vulnerabilità delle tecnologie. A proporre questo approccio sono gli esperti, che hanno valutato tutti i punti di forza e di debolezza dell’evolutiva associata alla containerizzazione.
I vantaggi della containerizzazione
Quando si tratta di contenitori di applicazioni, come Docker. Rkt e Mesos Containerizer, la maggior parte degli sviluppatori concorda nell’affermare che hanno rivoluzionato il modo in cui svolgono il proprio lavoro. Questi pacchetti autonomi e portatili di funzionalità applicative, con le eventuali dipendenze associate, aiutano gli sviluppatori e i team operativi a semplificare il processo di rilascio.
Perché piace agli sviluppatori
Agli sviluppatori piacciono perché possono dedicare meno tempo al mirroring delle piattaforme di produzione, garantendo così che il software che scrivono funzionerà come si aspettano al momento del rilascio. I container, inoltre, riducono il tempo per il debug dei problemi di configurazione in produzione: la loro portabilità fa in modo che le configurazioni più adeguate viaggino con l’applicazione quando il codice si sposta tra gli ambienti.
Le vulnerabilità insite nei container: un esempio
Dal punto di vista dell’efficienza operativa e della velocità di sviluppo al mercato, i container sono stati rivoluzionari. Da un punto di vista della sicurezza, tuttavia, possono comportare alcune sfide. La principale è che tenere traccia e mitigare le vulnerabilità può essere estremamente complesso, soprattutto perché contenitori diversi possono utilizzare versioni diverse del software.
Si prenda come esempio il caso di un ambiente che esegue due diverse applicazioni containerizzate. Entrambi i contenitori forniscono servizi che fanno parte di un’applicazione più ampia. Anche se potrebbero essere scritti nella stessa lingua, ad esempio Python, potrebbero utilizzare una versione diversa del runtime, ad esempio, una potrebbe essere Python 2.x e l’altra Python 3.x. Allo stesso modo, le librerie di supporto in uso potrebbero essere diverse o, peggio ancora, avere versioni differenti della stessa libreria. Potrebbero esserci anche middleware diversi, versioni diverse dello stesso middleware o configurazioni diverse necessarie per l’esecuzione dell’applicazione.
Questa situazione, sebbene complicata, all’inizio è gestibile fino a quando, nel tempo, iniziano a comparire vulnerabilità che interessano i componenti di supporto, le librerie e il middleware. Per rimanere aggiornati su questi problemi, gli sviluppatori e i team di sicurezza devono tenere traccia di:
- cosa è installato e dove
- quale versione di ogni componente è in esecuzione su ciascun contenitore e come avvengono le interazioni
- come vengono utilizzati i contenitori
Questo esempio è con solo due contenitori. Proiettato su realtà che ne gestiscono centinaia o migliaia è chiara la complessità.
10 modi per securitizzare le app containerizzate
Una survey presentata da Market Cube e riportata da TechTarget fotografa tutti gli approcci adottati dalle aziende per securitizzare le applicazioni containerizzate.
Nell’ordine:
- il 64% utilizza la crittografia dei dati
- il 49% utilizza il monitoraggio del runtime
- il 49% utilizza la scansione dei registri per rilevare eventuali vulnerabilità
- il 49% utilizza una scansione continua del ciclo di integrazione e sviluppo
- il 48% utilizza la protezione del runtime
- il 40% utilizza la microsegmentazione e i firewall
- il 40% utilizza la gestione sicura dei segreti
- Il 33% utilizza la firma dell’immagine
- Il 29% irrobustisce i cluster
- Il 28 irrobustisce l’host
L’importanza della scansione delle vulnerabilità
In molti casi, i team utilizzano strumenti di sicurezza tradizionali per mitigare i problemi. Nell’ambito dei container ci sono però diversi punti di attenzione da seguire. I tradizionali strumenti di scansione delle vulnerabilità possono aiutare a contrassegnare un sottoinsieme di vulnerabilità. Innanzitutto, proprio come le VM. possono essere effimere o transitorie, nel senso che rimangono in uno stato inattivo fino a quando non vengono attivate. In secondo luogo, a seconda della configurazione della scansione, uno strumento fotografa le versioni software installate ma non dice se sul container sono stati fatti gli aggiornamenti. Ad esempio, potrebbe mostrare che una versione del server web deve essere aggiornata, ma non se una determinata libreria Python lo sta facendo.
Container e open source: strumenti al servizio della sicurezza
Per risolvere i problemi con i tradizionali strumenti di scansione delle vulnerabilità, è emersa una nuova categoria di strumenti di sicurezza. Questi tool offrono visibilità su quali contenitori sono in esecuzione e, in base a questa visibilità, forniscono informazioni sul software del container che potrebbe contenere vulnerabilità. L’obiettivo è semplice: scoprire cosa è in esecuzione su un particolare contenitore e segnalare qualsiasi cosa potenzialmente problematica.
Sebbene diversi strumenti commerciali forniscono questa funzionalità, oggi sono disponibili anche una serie di strumenti open source che identificano le configurazioni di container vulnerabili. Tra i tool citati dagli esperti troviamo:
- Anchore Engine
- il progetto Clair di CoreOS
- Dagda
Come funzionano gli strumenti opensource
In una logica di sicurezza dei container in chiave open source, questi strumenti cercano all’interno del contenitore gli elementi nell’elenco Vulnerabilità ed esposizioni comuni. A seconda della configurazione e del prodotto specifico, possono cercare un malware, configurazioni non sicure e altri problemi che influiscono sulla sicurezza. In base a ciò che viene rilevato, gli strumenti possono intraprendere ulteriori azioni, come contrassegnare contenitori specifici per la successiva riparazione, aumentare il monitoraggio dei container vulnerabili noti fino a quando una correzione non è praticabile, mettere in quarantena il contenitore o anche solo avvisare uno sviluppatore o un amministratore. Possono essere utilizzati dagli sviluppatori o automatizzati e integrati in una pipeline di rilascio.
Sicurezza dei container e i vantaggi dell’open source
Come la maggior parte dei professionisti della sicurezza sa, gli strumenti di sicurezza open source possono offrire alcuni vantaggi significativi. Un sondaggio di Osterman Research ha rilevato che il 28% degli strumenti di sicurezza viene archiviato, rimanendo inutilizzato (ma in alcune organizzazioni la percentuale sale al 60%): dimostrare che l’azienda può e trarrà valore da uno strumento open source prima di effettuare l’acquisto di un prodotto commerciale può aiutare a portare avanti le istanze di sicurezza davanti al CdA. Il che rende comunque vantaggioso iniziare con uno strumento open source. Il secondo vantaggio è che avere solide opzioni open source significa che la sicurezza può essere attivata senza dover attendere il completamento di un ciclo di budget.
Per ottenere le risorse necessarie per mettere in campo una o più misure di sicurezza acquisire del budget può richiedere da 12 mesi a diversi anni. Un’opzione open source significa riuscire a colmare una lacuna o a mitigare un rischio senza perdere tempo. Questo può essere utile per chiudere rapidamente il risultato di un audit, come ripiego provvisorio per proteggere un’area ad alto rischio o per qualsiasi altro caso a breve termine in cui è fondamentale attivare una securitizzazione nel breve e nel medio periodo . La scansione dei container è preziosa e, dato che ci sono più opzioni open source per realizzarla, significa poter intervenire a un costo minimo.
