TECHTARGET

Migliori pratiche per la sicurezza dei container nel data center

La diffusione di container e i repository di container possono introdurre nuove vulnerabilità in un data center, è quindi necessario tenere conto di alcuni accorgimenti per non minare la propria sicurezza

Pubblicato il 08 Dic 2021

container

I container prevedono delle sfide di sicurezza uniche che le VM e il bare metal non presentano e i data center devono essere in grado di affrontarle. Anche se i container potrebbero presentare alcuni rischi di sicurezza con cui i responsabili di data center non hanno ancora familiarità, è possibile per queste figure imparare a gestire ambienti come questi in modo che siano sicuri.

Diffusione dei container e vulnerabilità del repository

Molti data center presentano problemi di sicurezza legati allo diffusione dei container, esattamente come era accaduto per con le VM quando questa tecnologia era appena entrata nel mercato. Gli sviluppatori possono anche distribuire i container molto più velocemente delle VM e questo potrebbe portarli a tralasciare alcuni controlli di sicurezza anche se opportuni.

“Il più grande problema con la sicurezza dei container è che quando gli sviluppatori li creano, nel processo vengono commessi degli errori”, ha detto Neil MacDonald, vice presidente e analista di Gartner. Il più comune è l’inclusione di componenti software con una vulnerabilità nota, come il software che proviene da GitHub o un repository di container. I repository possono agire come fonte di vulnerabilità incorporate quando gli sviluppatori costruiscono app su di essi, per mantenere gli ambienti sicuri, gli amministratori devono proteggere l’immagine del container, individuare le minacce ad esse inerenti o passare a immagini più sicure.

“È necessario limitare strumenti, librerie e agenti che si hanno all’interno della propria libreria”, ha detto Sandy Carielli, un analista di Forrester Research. Gli sviluppatori devono adottare un approccio più minimalista quando si tratta di container assicurandosi che il loro software fornisca solo ciò di cui hanno bisogno e niente di più. Molti sviluppatori amano aggiungere extra “nice to have” alle loro applicazioni una volta che soddisfano tutti i requisiti funzionali di base ma eliminando tutto ciò che non è richiesto si ottiene un’applicazione molto più sicura.

“Se avete un’applicazione sovraccarica di ciò di cui si pensa si possa avere bisogno o desiderare, è più probabile che presenti delle vulnerabilità – ha detto Carielli – questo è il motivo per cui i provider di tool per la software analysis si stanno espandendo nei mondo dei container”.

Container in diversi ambienti

Le organizzazioni devono gestire molti diversi tipi di container e ambienti di esecuzione e ciò può portare ad ulteriori vulnerabilità.

“Bisogna essere in grado di monitorare tutti i container per tutti i problemi e le configurazioni” ha detto Carielli. I data center possono prendere in considerazione diversi strumenti che monitorano le app containerizzate in diversi ambienti di runtime per problemi di configurazione e modifiche. Tuttavia, se un data center esegue la scansione solo per le vulnerabilità note, potrebbe trascurare altri potenziali problemi nascosti nel codice, ad esempio riguardanti chiavi API o password.

Anche le licenze possono nascondere dei problemi anche se non si tratta esattamente di sicurezza: il codice sorgente violato che ha origine con un prodotto commerciale o anche una libreria di estrazione bitcoin potrebbe nascondersi nel codice del contenitore.

Come aumentare la sicurezza dei container

Il modo più semplice per mantenere i container sicuri è quello di scansionarli all’inizio del ciclo di sviluppo e cercare tutto ciò che viola le policy. I prodotti di venditori come Trend Micro, McAfee e Palo Alto Networks offrono l’analisi della composizione del software che può scansionare tali vulnerabilità. I data center possono anche utilizzare plugin per il browser che segnalano i componenti vulnerabili prima che uno sviluppatore li scarichi.

“Alcuni fornitori offrono anche quello che è essenzialmente un tool di scansione, qualcosa come un firewall, che può bloccare questi download – ha detto MacDonald – Nel corso del tempo, gli stessi repository di codice probabilmente inizieranno a fare un lavoro migliore, senza richiedere l’aiuto di terzi”.

Tuttavia, la scansione dei container comporta dei costi associati e convincere gli sviluppatori potrebbe costituire un’ulteriore sfida. “Gli sviluppatori non lo stanno chiedendo, è chi si occupa di privacy e security che si sta rendendo conto di rischiare se le cose non vengono scansionate prima del loro rilascio”, ha detto MacDonald. Ma se la scansione è fatta correttamente, è una vittoria per tutti. “Si evita che il codice pericoloso vada in produzione, cosa che rallenterebbe anche gli sviluppatori”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2