可观测性概述

  • 项目

可观测性 在整个容器供应链中发挥作用,通过提供从购置到生成到部署和运行的各阶段的可见性、监视和控制。 了解容器化应用程序的生命周期、它所经历的供应链的各个阶段、它所依赖的组件以及参与其创建的参与者至关重要。 借助可观测性,企业可以识别容器供应链安全性方面的差距,在事件响应期间回答关键问题,甚至防止不安全的容器部署到生产环境中。

作为 Microsoft 容器安全供应链(CSSC)框架的关键组成部分, 可观测性 确定了容器化应用程序的一组最佳做法和准则。 在本文中,你将了解容器安全供应链可观测性的背景、目标和目标。

背景

在当今的企业环境中,容器化应用程序是使用由不同团队管理的各种工具构建和部署的。 这些工具中的可观测性数据通常是孤立的,因此很难跟踪容器化应用程序的生命周期。 这种缺乏可见性使得很难识别供应链安全性中的漏洞并检测潜在的安全问题。

CSSC 框架的可观测性组件建议一组最佳做法和指南,用于从容器供应链的各个阶段捕获基本数据。 此数据可用于在容器化应用程序的生命周期中建立常见步骤,并检测可能表示泄露的异常(IoC)。

Microsoft 建议在容器供应链的每个阶段实现可观测性。 每个阶段的可观测性数据应集成到提供供应链整体视图的单个系统中。 人工智能可以关联不同阶段的数据,并确定可用于检测异常并防止安全事件的模式。

应通过详细的报告和警报功能来增强可观测性。 报告可帮助团队了解其当前的安全状况并做出改进,同时帮助他们满足合规性要求。 及时发出可疑行为的警报可以防止安全事件,并减少违规的影响。

Microsoft 建议至少捕获以下可观测性数据:

  • 外部容器映像的源、版本和漏洞状况,可用于评估外部依赖项的风险。
  • 用户请求和批准使用外部图像的活动,这些图像可以识别潜在的内部威胁。
  • 漏洞和恶意软件扫描的日期和时间,以确保定期执行漏洞和恶意软件扫描,并避免过时的数据。
  • 在生成和部署管道中使用外部映像来量化外部依赖项的风险。
  • 生成详细信息,例如源代码位置、生成环境和生成项目,以确保生成符合要求。
  • 部署详细信息,例如部署环境、部署项目和部署配置,以确保部署符合
  • 运行时详细信息(例如运行时环境、运行时项目、运行时配置和运行时行为),以确保与预期行为没有偏差。

上述可观测性数据可与来自安全信息和事件管理(SIEM)系统的其他数据(如防火墙日志、网络流量和用户活动)关联,以检测模式并确定潜在的安全事件。

可观测性的安全目标

在每个阶段内实现可观测性对于识别差距和防止容器供应链中的安全事件至关重要。 CSSC 框架的可观测性组件旨在满足以下安全目标。

检测威胁和恶意行为

对软件供应链的攻击正变得越来越常见和复杂。 当前监视工具仅限于在单个供应链阶段内监视系统,而忽略容器生命周期的整体上下文。 企业可能依赖定期或手动检查,这些检查在识别正在进行的威胁或快速演变的攻击模式方面效率较低。

在容器的供应链上实现端到端可观测性有助于安全团队全面了解供应链并识别潜在威胁和恶意行为。

简化合规性

云原生应用程序部署在全局规模上,由大量资产组成。 部署容器的可见性有限、使用哪些源及其安全状况,使得难以满足合规性要求。 库存不足还防止企业快速量化严重漏洞的影响并采取行动。

捕获容器供应链的每个阶段的可观测性数据可以帮助企业构建其容器资产的综合清单,并创建可用于快速评估风险并提供合规性报告的依赖项关系图。

协助处理事件响应

缺乏可观测性可能会通过延迟检测、限制可见性、增加手动工作负荷以及降低响应措施的效率和有效性来阻碍事件响应工作。 如果没有容器端到端供应链的完整视图,事件响应者可能缺乏关键信息,因此评估事件的严重性并制定有效的响应策略具有挑战性。

将容器供应链的各个阶段的可观测性数据关联,可以帮助事件响应者做出更好的决策,更快地响应安全事件。

Microsoft 提供了一组工具和服务,可用于在容器供应链中实现可观测性。

Azure 容器注册表(ACR)审核和诊断日志提供注册表上执行的所有操作的详细审核和活动线索。 日志和求和数据可以与 Azure Monitor 中的其他可观测性数据相关联。

Microsoft Defender for DevOps 提供对使用 Azure DevOps 和 GitHub 的团队的 DevOps 安全状况的统一可见性。 Defender for DevOps 可帮助你发现部署配置错误、公开的机密和批注 GitHub 和 Azure DevOps 中具有安全信息的拉取请求。

后续步骤