Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Rilevamento delle minacce relative ai container

Con un grande numero di imprese che dichiarano di eseguire i propri workload nei container , rilevare le minacce alla sicurezza dei container è diventato fondamentale per le imprese di ogni tipologia.

Sfortunatamente, questa è una priorità complessa da gestire. Le minacce alla sicurezza dei container assumono diverse forme, e possono interessare la sicurezza di runtime, la rete, le immagini dei container e molto altro. Quindi, per rilevarle, è necessario valutare tutti i diversi livelli di cui si compongono gli stack dei software containerizzati.

Questo articolo presenta i diversi tipi di minacce alla sicurezza dei container a cui si deve fare attenzione per anticipare i rischi che potrebbero avere conseguenze molto negative sui workload containerizzati, indipendentemente dalla loro provenienza.

Cos’è il rilevamento delle minacce ai container?

Il rilevamento delle minacce ai container è il processo di identificazione di qualunque tipo di rischio per la sicurezza che potrebbe avere un impatto sui workload ospitati nei container. Dall’escalation dei privilegi fino al malware o alle configurazioni di rete non sicure, il rilevamento delle minacce ai container offre una vasta protezione contro i diversi tipi di minacce alla sicurezza che potrebbero presentarsi in un ambiente applicativo containerizzato.

Approccio al rilevamento delle minacce ai container

Dal momento che le minacce alla sicurezza dei container assumono forme diverse, rilevarle significa valutare molteplici categorie di potenziali minacce a diversi livelli dell’ambiente in uso. Presentiamo di seguito le principali aree di rischio da considerare.

Sicurezza del runtime dei container

Una minaccia alla sicurezza del runtime di un container è un tipo di minaccia che attacca un container in esecuzione.

Esistono due principali vettori attraverso i quali le minacce al runtime possono manifestarsi:

  • Immagini dei container compromesse: Il malware presente nelle immagini dei container potrebbe generare minacce attive quando i container vengono utilizzati.
  • Ambiente di runtime non sicuro : Configurazioni non sicure che, ad esempio, consentono ai container di operare in modalità privilegiata o di accedere a dati sensibili potrebbero determinare violazioni.

Perché avvenga una minaccia di questo tipo, di solito deve essere presente almeno una di queste due condizioni. In molti casi, tuttavia, sono presenti entrambe: per esempio, un’immagine del container corrotta potrebbe introdurre un malware in un ambiente di runtime e l’impatto del malware potrebbe essere esacerbato da configurazioni non sicure che non riescono a isolare il workload compromesso.

Le minacce al runtime potrebbero anche verificarsi in altri modi, ad esempio sotto forma di una vulnerabilità della sicurezza nel runtime del container (il software che esegue i container) o una vulnerabilità a livello di OS nel server che ospita il container. Tuttavia, queste minacce sono relativamente rare rispetto ai rischi che si originano dall’interno dei container o dall’ambiente in cui essi vengono eseguiti.

Rilevamento delle minacce ai runtime dei container

Dal momento che la maggior parte delle minacce alla sicurezza dei runtime dei container ha origine da immagini e/o configurazioni non sicure, la strategia principale per rilevarle è scansionare le immagini e le impostazioni dell’ambiente .

La scansione delle immagini dei container è un processo semplice che può essere svolto da un qualunque scanner di container comune. In molti casi, gli scanner più comuni consentono di scansionare qualunque tipo di container.

Scansionare le configurazioni degli ambienti potrebbe invece risultare più complesso, poiché questa operazione dipende dal luogo in cui si eseguono i container. Se sono orchestrati in Kubernetes sarà necessario utilizzare uno strumento per il rilevamento in grado di analizzare i diversi tipi di configurazione che governano Kubernetes. Se si utilizza una soluzione di orchestrazione alternativa, ad esempio AWS ECS, sarà necessario uno strumento appositamente pensato per l’analisi di questo tipo di ambiente.

Bisogna monitorare costantemente i registri, le metriche e (se disponibili nell’ambiente di runtime o nel sistema di orchestrazione) gli audit trail al fine di rilevare minacce attive alla sicurezza del runtime. Strumenti di monitoraggio quali Falco possono aiutare in questa operazione.

Sicurezza di rete dei container

I container ospitano solo le applicazioni. Le risorse di rete sono esterne ai container e sono tipicamente gestite da un sistema di orchestrazione o service mesh diverso dai container stessi.

Ciononostante, le configurazioni di rete non sicure possono avere gravi conseguenze sui workload ospitati nei container. Le impostazioni di rete che non isolano adeguatamente i container l’uno dall’altro potrebbero fare sì che le violazioni che avvengono in un container si diffondano negli altri, oppure potrebbero facilitare l’accesso di un container compromesso a dati sensibili che si trovano in un altro container.

Pertanto, la rete è uno dei principali vettori di inizio ed escalation degli attacchi ai danni dei container. Rilevare le minacce che hanno origine nella rete, dunque, è un componente fondamentale della protezione dei container.

Rilevamento delle minacce alla rete dei container

Non esiste un approccio univoco al rilevamento delle minacce ai container derivanti dalla rete. Le reti dei container possono essere configurate in molti modi e la loro architettura potrebbe variare grandemente in base a fattori quali il sistema di orchestrazione utilizzato, il fatto che i container siano eseguiti sul cloud oppure on-premise e l’eventuale utilizzo di una service mesh.

Ciò significa che, per rilevare efficacemente le minacce alla rete, è necessario utilizzare uno strumento di rilevamento in grado di interpretare le impostazioni della configurazione di rete di qualunque piattaforma venga impiegata per eseguire i container.

Allo stesso tempo, bisognerebbe utilizzare uno strumento in grado di analizzare i dati di rete in tempo reale per rilevare le minacce. Attività quali traffico dannoso tra i container o tentativi di riempire la rete di richieste illegittime (che potrebbero essere parte di un attacco DDoS) possono essere rilevate individuando le anomalie nei comportamenti della rete.

Per funzionare efficacemente, tuttavia, gli strumenti di rilevamento delle minacce alla rete devono essere in grado di individuare le reali anomalie in ambienti in cui le configurazioni di rete variano costantemente. In molti casi, le assegnazioni degli indirizzi IP, le configurazioni di bilanciamento del carico e il numero totale di endpoint in un ambiente containerizzato subiscono continui aggiornamenti, poiché i container vengono creati e distrutti in risposta alle fluttuazioni della domanda.

Per questa ragione, è difficile stabilire una base statica di attività di rete “normali” e misurare le anomalie rispetto a essa. Gli strumenti devono invece essere in grado di determinare i comportamenti di base partendo da configurazioni dinamiche e correlare il traffico di rete con altre fonti di dati (come i registri di controllo) per prendere decisioni informate su ciò che rappresenta una vera minaccia alla rete dei container e quello che, invece, è solo una normale fluttuazione del traffico.

Le minacce alla sicurezza delle applicazioni containerizzate possono presentarsi in molti modi diversi. Le aziende devono essere pronte a rilevarle tutte adottando un approccio su più fronti che possa stanare le minacce indipendentemente dal loro punto di origine (immagini dei container, configurazioni di runtime, configurazioni di rete o ovunque altro).