SOC 2控件之一显然是关于确保防病毒/反垃圾邮件/反恶意软件在生产服务器上运行。我一直在搜寻容器世界中是否对此有任何建议/最佳实践。我不确定在主机OS上运行AV是否是一个好习惯?我在Google搜寻中发现的一些资料似乎表明,如果您执行类似的操作,则需要排除容器使用的文件,以避免锁定容器。听起来可能会达到目的。

在我们的特殊情况下,我们正在使用Google的预制容器OS在GKE上运行。任何人都有经验吗?

#1 楼

这是您需要直接与之交谈并可能帮助培训审核员的领域。您要记住的是,它们负责确保应用了足够的控制,而不是专门负责“生产服务器具有端点保护”;防病毒和反恶意软件是应用于技术的一些最基本的控制方法。

作为十个入门者,您可以考虑以下内容:



安全软件开发生命周期(S-SDLC):在传统环境中,开发人员和管理员工作站将安装防病毒和反恶意软件产品,因此,开发人员创建和管理员部署的任何代码都将已进行例行自动扫描。容易忘记,需要对我们的自动化管道应用相同的控件,一种选择是使用ClamAV或商业防病毒产品扫描源代码和伪像。



/> Trivy-不是防病毒软件,但确实提供漏洞扫描功能,因此可以控制恶意软件通过上游第三方进入。容器开发的实践是通过保持硬化且最小的基本映像来减少攻击表面积。例如,删除所有不必要的组件,例如外壳,网络实用程序和文本编辑器。使用诸如CIS映像之类的预先强化的映像并应用
如果您管理自己的Kubernetes主节点和节点,则应考虑针对该主机的攻击向量使用端点保护来减轻,尽管如果使用Hosted Kubernetes,即Google Kubernetes引擎或Azure Kubernetes服务,您需要跳过一些障碍才能使其工作。正如您可能已经看到的那样,对于避免什么有一些基本建议,并且您需要了解扫描引擎的局限性-即它无法进入容器。



Docker防病毒排除-记住Kubernetes使用的是ContainerD
Kubernetes ClamAV
Sysdig Falco
碳黑

作为一种强制性的访问控制安全机制,并且通常已应用相关的CIS或STIG基准。 br />

Dagda
OpenSCAP
Sysdig Falco




完整性检查非常重要,因为它不是反恶意软件本身,它是大多数反恶意软件程序包的组成部分,因此可能只是向您发出信号,您需要知道某些问题:



images应该进行签名,并且Kubernetes应该配置为仅使用受信任方签名的图像。
主机应该绝对使用文件完整性监控(例如扭转锁)。
同样,文件完整性最后,请记住“基础架构即代码”,如果您可以销毁所有基础架构并自动从头开始重建它,那么它很容易实现,请记住“基础架构即代码”。从折中中恢复过来。对于审核员而言,这是一个艰巨的挑战。放在一块玻璃中。

评论

@Roly表示欢迎,我很高兴在您获取SOC2报告的过程中,您可能需要一些时间让我们知道您最终为“充分控制”风险所做的工作恶意软件和代码。

–Richard Slater
19年11月11日在8:52