Sự ra đời của các bộ xử lý mạnh mẽ hơn vào đầu những năm 2000 đã khởi xướng cuộc cách mạng điện toán mà theo thời gian đã dẫn đến cái mà chúng ta gọi là đám mây (cloud). Với một phiên bản phần cứng duy nhất có khả năng chạy hàng chục, thậm chí hàng trăm máy ảo cùng lúc, các doanh nghiệp có thể cung cấp cho người dùng nhiều dịch vụ và ứng dụng mà nếu không thì sẽ không khả thi về mặt tài chính, nếu không muốn nói là bất khả thi.

Tuy nhiên, các máy ảo (VM) có một số nhược điểm. Thường thì, một hệ điều hành ảo hóa hoàn chỉnh là quá mức cần thiết cho nhiều ứng dụng, và mặc dù dễ uốn nắn, có khả năng mở rộng và linh hoạt hơn nhiều so với một dàn máy chủ vật lý, VM vẫn yêu cầu nhiều bộ nhớ và sức mạnh xử lý đáng kể hơn, đồng thời kém linh hoạt hơn so với bước tiến hóa tiếp theo của loại công nghệ này – vùng chứa (container). Ngoài việc dễ dàng mở rộng quy mô hơn (tăng hoặc giảm, tùy theo nhu cầu), các ứng dụng được đóng gói trong vùng chứa chỉ bao gồm các phần cần thiết của ứng dụng và các phần phụ thuộc hỗ trợ của nó. Do đó, các ứng dụng dựa trên microservice có xu hướng nhẹ hơn và dễ cấu hình hơn.

Máy ảo thể hiện các vấn đề bảo mật tương tự như những gì ảnh hưởng đến các đối tác máy chủ vật lý của chúng, và ở một mức độ nào đó, các vấn đề bảo mật vùng chứa cũng phản ánh những vấn đề của các thành phần cấu thành chúng: một lỗi MySQL trong một phiên bản cụ thể của ứng dụng gốc cũng sẽ ảnh hưởng đến các phiên bản được đóng gói trong vùng chứa. Đối với VM, cài đặt máy chủ vật lý và vùng chứa, các mối lo ngại và hoạt động an ninh mạng rất giống nhau. Nhưng việc triển khai vùng chứa và các công cụ của chúng mang đến những thách thức bảo mật cụ thể cho những người phụ trách chạy ứng dụng và dịch vụ, cho dù là tự mình ghép nối các ứng dụng với các vùng chứa đã chọn, hay chạy trong môi trường sản xuất với công cụ điều phối (orchestration) ở quy mô lớn.

Các rủi ro bảo mật dành riêng cho vùng chứa

• Cấu hình sai: Các ứng dụng phức tạp được tạo thành từ nhiều vùng chứa, và cấu hình sai – thường chỉ là một dòng duy nhất trong tệp .yaml, có thể cấp các đặc quyền không cần thiết và tăng bề mặt tấn công. Ví dụ, mặc dù không dễ dàng để kẻ tấn công giành quyền truy cập root vào máy chủ từ một vùng chứa, nhưng vẫn là một thực tế quá phổ biến khi chạy Docker với quyền root, mà không có ánh xạ lại không gian tên người dùng, chẳng hạn.

• Hình ảnh vùng chứa dễ bị tấn công: Năm 2022, Sysdig đã phát hiện hơn 1.600 hình ảnh được xác định là độc hại trong Docker Hub, ngoài ra còn có nhiều vùng chứa được lưu trữ trong kho với các thông tin xác thực đám mây, khóa SSH và mã thông báo NPM được mã hóa cứng. Quá trình lấy hình ảnh từ các kho lưu trữ công cộng không minh bạch, và sự tiện lợi của việc triển khai vùng chứa (cộng với áp lực lên các nhà phát triển phải tạo ra kết quả nhanh chóng) có thể có nghĩa là các ứng dụng có thể dễ dàng được xây dựng với các thành phần vốn không an toàn, hoặc thậm chí độc hại.

• Các lớp điều phối: Đối với các dự án lớn hơn, các công cụ điều phối như Kubernetes có thể tăng bề mặt tấn công, thường là do cấu hình sai và mức độ phức tạp cao. Một cuộc khảo sát năm 2022 từ D2iQ cho thấy chỉ 42% ứng dụng chạy trên Kubernetes được đưa vào sản xuất – một phần do khó khăn trong việc quản lý các cụm lớn và đường cong học tập dốc.

Theo Ari Weil của Akamai, “Kubernetes đã trưởng thành, nhưng hầu hết các công ty và nhà phát triển không nhận ra nó phức tạp đến mức nào […] cho đến khi họ thực sự triển khai ở quy mô lớn.”

Bảo mật vùng chứa với học máy

Các thách thức cụ thể về bảo mật vùng chứa có thể được giải quyết bằng cách sử dụng các thuật toán học máy được huấn luyện dựa trên việc quan sát các thành phần của một ứng dụng khi nó ‘chạy sạch’. Bằng cách tạo một đường cơ sở về hành vi bình thường, học máy có thể xác định các bất thường có thể cho thấy các mối đe dọa tiềm tàng từ lưu lượng truy cập bất thường, thay đổi cấu hình trái phép, các mẫu truy cập người dùng kỳ lạ và các lệnh gọi hệ thống không mong muốn.

Các nền tảng bảo mật vùng chứa dựa trên học máy có thể quét các kho hình ảnh và so sánh từng hình ảnh với cơ sở dữ liệu về các lỗ hổng và vấn đề đã biết. Các lần quét có thể được tự động kích hoạt và lên lịch, giúp ngăn chặn việc bổ sung các yếu tố có hại trong quá trình phát triển và sản xuất. Các báo cáo kiểm tra tự động có thể được theo dõi dựa trên các tiêu chuẩn chuẩn, hoặc một tổ chức có thể đặt ra các tiêu chuẩn bảo mật riêng – hữu ích trong các môi trường nơi dữ liệu nhạy cảm cao được xử lý.

Khả năng kết nối giữa các chức năng bảo mật vùng chứa chuyên biệt và phần mềm điều phối có nghĩa là các vùng chứa bị nghi ngờ có thể được cô lập hoặc đóng ngay lập tức, các quyền không an toàn bị thu hồi và quyền truy cập của người dùng bị tạm ngừng. Với các kết nối API tới tường lửa cục bộ và điểm cuối VPN, toàn bộ môi trường hoặc mạng con có thể được cô lập, hoặc lưu lượng truy cập bị chặn tại các ranh giới mạng.

Học máy có thể giảm thiểu rủi ro vi phạm dữ liệu trong môi trường vùng chứa bằng cách hoạt động ở nhiều cấp độ. Phát hiện bất thường, quét tài sản và gắn cờ các cấu hình sai tiềm ẩn đều có thể thực hiện được, cộng với bất kỳ mức độ cảnh báo hoặc cải thiện tự động nào cũng tương đối đơn giản để thực hiện.

Những khả năng mang tính chuyển đổi của các ứng dụng dựa trên vùng chứa có thể được tiếp cận mà không gặp phải các vấn đề bảo mật đã ngăn cản một số người khám phá, phát triển và chạy các ứng dụng dựa trên microservice. Những lợi thế của công nghệ gốc đám mây có thể đạt được mà không ảnh hưởng đến các tiêu chuẩn bảo mật hiện có, ngay cả trong các lĩnh vực rủi ro cao.