首页
功能
  • 功能简介
  • 更多系统
服务支持
升级包下载
客户列表
关于安企神

400-118-8335

在线试用
微信扫码联系专属客服
安企神软件官网
首页
功能
文档加密软件
文档信息安全管理软件
上网行为管理软件
应用程序管控软件
敏感文件管理软件
U盘设备管控软件
文件分发软件
IT资产管理软件
电脑操作记录软件
远程控制软件
聊天管控软件
敏感信息报警
屏幕管控
内网管理
深度行为分析
电脑屏幕录像
实时管控
补丁管理
网络准入控制管理系统
服务支持
升级包下载
客户列表
客户列表
客户列表
关于安企神
安企神软件

容器敏感数据信息防泄露实践

2024-10-31
公司上网行为管理,就用安企神软件
【编辑推荐】安企神软件系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。

对于发送给等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!

云时代流行的今天,云和容器成了日常工作的一部分。这样就涉及一个安全问题,在容器使用过程中常常要构建镜像,在构建进行并push到公共存储(私有项目不要存储大公共注册表),其中可能会涉及有些敏感信息和机密数据泄露。比如IP地址,密码,私钥等信息。本文我们就来说说在实践中如何避免敏感信息的泄露。

概述

容器和Docker让我们的日常更加便捷,但是同时也会很容易将一些信息不小心泄露给公众造成安全问题。密码,云凭证和SSH私钥,如果配置不当,一不小心就会泄露。除非建立一套安全事件策略,综合防护,一些案例:

Codecov供应链攻击:

2021年4月1日,由于Codecov一个Docker文件配置失误,攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。通过恶意代码修改Bash Uploaders,并将环境变量和从一些客户的CI/CD环境中收集的密钥泄露给了一个受攻击者控制的服务器。

受到该事件影响,HashiCorp用于发布签名和验证的GPG密钥被泄露,目前已经采用轮换机制定期更换私钥。

其他由于Docker Hub公共镜像导致的泄露还包括(不限于):

AWS账户和凭据,SSH私钥,Azure密钥,.npmrc令牌,Docker Hub账户,PyPI存储库密钥,SMTP服务器认证信息,eCAPTCHA密码,Twitter API密钥,Jira密钥,Slack密钥以及其他一些密钥等。

COPY方法

DockerFile语法中常见的一个COPY方法:

  1. FROM debian:buster
  2. COPY . /app

默认情况下,该语句会将当前目录中所有内容的复制到镜像中。这些内容中可能会包含敏感信息的文件:例如站点.env。

一旦敏感信息,被放到Docker镜像中,则任何可以访问该镜像的用户都可以看到这些信息。为了防止由于COPY导致的敏感信息泄露:

    • 限制复制内容:只复制必须的特定文件或目录。 例如,
  1. COPY setup.py myapp/app。
    • .dockerignore:使用.dockerignore确保敏感文件不被复制到镜像中去,一个典型的配置:
  1. NOTICE
  2. README.md
  3. LICENSE
  4. AUTHORS.md
  5. CONTRIBUTING.md
  6. .vscode/
  7. vendor/
  8. env/
  9. ENV/
  10. build/
  11. dist/
  12. target/
  13. downloads/
  14. eggs/
  15. .eggs/
  16. lib/
  17. lib64/
  18. parts/
  19. sdist/
  20. var/
  21. Dockerfile
  22. .git
  23. .editorconfig
  24. *.egg-info/
  25. .installed.cfg
  26. *.egg
  27. *.manifest
  28. *.spec
  29. .gcloudignore
  30. .gitignore
  31. .tox/
  32. .dockerignore
  33. .coverage
  34. .coverage.*
  35. .cache
  36. htmlcov/
  37. nosetests.xml
  38. coverage.xml
  39. *,cover
  40. .hypothesis/
  41. ssh/
  42. id_rsa
  43. .git-credentials
  44. config.*
  • 避免手动生成镜像:与CICD自动生成系统相比,开发环境更容易涉及敏感文件,因此在开发环境手动生成公共镜像更容易导致泄露。
  • 使用CI环境变量:如果CI或构建环境需要使机密信息,需要将其配置在环境变量中,而不要通过文件访问。

镜像编译

有时需要在构建Docker镜像时使用机密,例如访问私有软件包存储库的密码。

  1. FROM python:3.9
  2. RUN pip install \
  3. --extra-index-url User:pass@priveapk.example \
  4. package privatepackage

直接在URL包含了用户名和密码会直接导致其泄露。可以使用环境变量形式来应用:

  1. export MYSECRET=secretpassword
  2. export DOCKER_BUILDKIT=1
  3. docker build --secret --secret id=mysecret,env=MYSECRET .

运行时

有些密码是需要在容器运行时候需要访问的,比如访问数据库的凭据。同样的运行时机密也不能直接存储在镜像中。

除了镜像内容导致意外泄露,这种存储在镜像中的配置也绑定了环境,不便于镜像灵活运行。在运行容器时可以通过多种方法将机密传递给容器:

  • 使用环境变量。
  • 与绑定机密文件的卷。
  • 编排系统(如K8S)的密码管理机制。
  • 在公有云环境中,可以使用云环境变量和授权。比如AWS 的IAM角色管理。
  • 外部密钥库。

通过以上这些机制,可以避免运行时敏感信息存储在镜像本身中。

安全扫描

除了上面一些管理方面策略外,还有一个主动方法就是自动地进行安全扫描。市面上有很多密码扫描工具,可以扫描目录或者Git仓库,如果包含敏感信息则会直接告警。比如detect-secrets,trufflehog

也有对镜像扫描的工具,比如pentester可以扫描Docker Hub镜像,发现问题。

总结

本文我们讨论了容器敏感信息防泄露的一些安全方法,包括基本语法,镜像编译,运行时以及安全扫描等方法。综合使用这些方法和策略,可以有效地防止容器使用时候的敏感信息泄露,从而提高安全。[来源:今日头条]

  • TAG:
上一篇 : Spectre变种可通过CPU缓存窃取数据
下一篇 : Microsoft Azure Blob发生暴露敏感源代码事件

相关文章

最新文章

热门文章

文章标签

安企神软件