容器應用程式逐漸普遍,已經從開發者愛好工具,進入企業內部基礎架構。不過映像檔更新工作,對於維運人員依舊是件不簡單的工作。在近日,Google旗下公有雲平臺GCP,宣布推出基礎映像檔更新代管服務(managed base images),「從最初建置應用程式時就可以使用。」目前此服務所支援的Linux發行版,分別有CentOS 7、Debian 9,以及Ubuntu 16.04,使用者可以直接從GCP市集下載。

這一次推出的新服務,Google會提供使用者多種作業系統基礎映像檔,後續更新工作也由該公司進行。如此,開發者除了能時時保持映像檔在最新版本,由Google進行映像檔把關,維運人員也不須從未知來源下載映像檔,藉以提高容器基礎架構的運作安全。

不過Google表示,即便導入此基礎映像檔更新代管服務,容器映像檔經過掃描後,仍可能發現映像檔存在漏洞。Google表示,出現此狀況主要有三大原因。首先,掃瞄出的漏洞可能被歸類為低風險漏洞,而專案維護人多半優先處理高風險漏洞,導致當前版本未有可用更新。第二個原因,則可能該專案剛爆出漏洞事件,還未有可用映像檔更新。最後,則可能為開源專案新推出的功能,可能對系統安全帶來風險,但專案維護人並不視其為漏洞。

由於容器的生命周期極短,不停進行重新建置、部署,為了確保使用者容器映像檔安全,Google建議企業用戶建立高度一致的CI/CD流程,時時確保基礎架構環境內的容器映像檔,皆有經過把關、認證程序。而該公司表示,實施方法總共有四大方向。第一方向,導入集中化管理的CI/CD,除了減少使用容器儲存庫數量,而正式環境的軟體上線工作,必須透過中央發管道進行。第二方向,則是選用安全儲存庫作為映像檔來源,從開發源頭就做好資安工作。

再者,建立映像檔掃描、分析的使用習慣,可使用第三方或公有雲廠商原生服務執行。最後,當映像檔要進入正式環境前,維運人員得確保只有經認證映像檔,才能部署至正式環境。

而Google表示,未考慮使用此代管服務的開發者,亦可嘗試其他開源方案,像是該公司釋出的開源容器工具Distroless images。此映像檔內僅打包使用者的應用程式、Runtime相依性,刪去標準Linux發行版內的套件管理工具、Shells,縮小映像檔的攻擊表面。


Advertisement

更多 iThome相關內容