Sự ra đời của các bộ vi xử lý mạnh mẽ hơn vào đầu những năm 2000 đã khởi xướng cuộc cách mạng điện toán, dẫn đến sự phát triển của nền tảng mà ngày nay chúng ta gọi là Cloud. Với khả năng chạy đồng thời hàng chục, thậm chí hàng trăm máy ảo trên một phần cứng đơn lẻ, các doanh nghiệp đã có thể cung cấp nhiều dịch vụ và ứng dụng cho người dùng mà trước đây về mặt tài chính là không khả thi hoặc gần như không thể.
Tuy nhiên, máy ảo (VM) cũng tồn tại một số hạn chế. Thông thường, việc ảo hóa toàn bộ một hệ điều hành là quá mức cần thiết cho nhiều ứng dụng. Mặc dù VM linh hoạt, có khả năng mở rộng và nhanh nhẹn hơn nhiều so với một đội máy chủ vật lý, nhưng VM vẫn đòi hỏi bộ nhớ và sức mạnh xử lý lớn hơn đáng kể, đồng thời kém linh hoạt hơn so với thế hệ công nghệ tiếp theo – container. Ngoài khả năng dễ dàng mở rộng theo nhu cầu, các ứng dụng đóng gói trong container chỉ bao gồm những phần cần thiết của ứng dụng cùng các thành phần phụ trợ. Vì thế, các ứng dụng dựa trên kiến trúc micro-services thường nhẹ nhàng và dễ cấu hình hơn.
Máy ảo gặp phải những vấn đề về bảo mật tương tự như các máy chủ vật lý, còn ở mức độ nào đó, vấn đề an ninh của container phản ánh các lỗ hổng trong các thành phần cấu thành nó: một lỗi mySQL trong phiên bản cụ thể của ứng dụng gốc cũng sẽ ảnh hưởng đến phiên bản đang chạy trong container. Về mặt bảo mật, VM, cài đặt trực tiếp trên máy vật lý và container có những mối quan tâm và biện pháp tương tự. Tuy nhiên, việc triển khai container và các công cụ liên quan đem lại các thách thức riêng cho đội ngũ vận hành ứng dụng và dịch vụ, dù là khi xây dựng thủ công từng thành phần container hay vận hành ở quy mô lớn với công cụ điều phối (orchestration).
Rủi ro bảo mật riêng biệt của container
- Cấu hình sai: Các ứng dụng phức tạp thường bao gồm nhiều container, và việc cấu hình sai – đôi khi chỉ là một dòng trong file .yaml – có thể cấp quyền vượt mức và mở rộng bề mặt tấn công. Ví dụ, dù việc chiếm quyền root từ container lên máy chủ vật lý không đơn giản, nhưng thực tế phổ biến là Docker được chạy với quyền root, không sử dụng cơ chế remap user namespace, dẫn đến rủi ro tăng cao.
- Ảnh container dễ tổn thương: Năm 2022, Sysdig phát hiện hơn 1.600 ảnh container độc hại trên Docker Hub, bên cạnh nhiều container lưu trữ trong kho có chứa thông tin nhạy cảm như credential Cloud, chìa khóa SSH hay token NPM được Token hoá cứng. Quá trình kéo ảnh từ các registry công khai thường thiếu minh bạch, và sự tiện lợi trong việc triển khai container (kèm áp lực phải hoàn thành nhanh của nhà phát triển) dễ dẫn tới việc xây dựng ứng dụng chứa các thành phần có nguy cơ bảo mật hoặc độc hại.
- Lớp điều phối: Với các dự án lớn, các công cụ điều phối như Kubernetes có thể làm tăng bề mặt tấn công, chủ yếu do cấu hình phức tạp và dễ sai sót. Một khảo sát của D2iQ năm 2022 cho thấy chỉ 42% ứng dụng chạy trên Kubernetes được đưa vào sản xuất, phần nào vì khó khăn trong việc quản lý các cụm lớn và đường cong học tập cao.
Theo Ari Weil từ Akamai, “Kubernetes đã trưởng thành, nhưng hầu hết các công ty và lập trình viên chưa nhận thức hết mức độ phức tạp […] cho tới khi họ vận hành ở quy mô lớn.”
Bảo mật container với Machine Learning
Những thách thức riêng biệt về bảo mật container có thể được giải quyết bằng các thuật toán machine learning được huấn luyện dựa trên việc quan sát hoạt động của các thành phần ứng dụng khi “chạy phiên bản sạch.” Bằng cách thiết lập baseline hành vi bình thường, Machine Learning có thể phát hiện những bất thường tiềm ẩn nguy cơ tấn công từ lưu lượng khác thường, thay đổi cấu hình trái phép, các mẫu truy cập kỳ lạ từ người dùng hay các cuộc gọi hệ thống bất ngờ.
Nền tảng bảo mật container dựa trên ML có thể quét các kho ảnh và so sánh từng ảnh với cơ sở dữ liệu các lỗ hổng và sự cố đã biết. Các lần quét này có thể được tự động kích hoạt và lên lịch, giúp ngăn chặn việc đưa vào các phần tử có hại trong quá trình phát triển và vận hành. Báo cáo kiểm tra tự động được tạo ra có thể được đối chiếu với các chuẩn mực bảo mật hoặc tổ chức có thể đặt ra các tiêu chuẩn riêng – điều này rất cần thiết với môi trường xử lý dữ liệu cực kỳ nhạy cảm.
Sự kết nối giữa các chức năng chuyên biệt về bảo mật container và phần mềm điều phối cho phép ngay lập tức cô lập hoặc dừng các container nghi ngờ, thu hồi quyền truy cập không an toàn, hoặc tạm dừng truy cập người dùng. Qua các API kết nối với tường lửa địa phương và điểm cuối VPN, toàn bộ môi trường hoặc các mạng con có thể được cô lập, hoặc lưu lượng bị chặn ngay từ biên mạng.
Lời kết
Machine learning giúp giảm thiểu rủi ro rò rỉ dữ liệu trong môi trường container ở nhiều cấp độ khác nhau. Từ phát hiện bất thường, quét tài sản đến cảnh báo các cấu hình sai tiềm ẩn, cùng với khả năng tự động cảnh báo hoặc can thiệp, tất cả đều có thể thực hiện linh hoạt và hiệu quả.
Tiềm năng chuyển đổi của các ứng dụng trên nền tảng container có thể được khai thác tối đa mà không phải lo ngại về những vấn đề bảo mật đã từng ngăn cản nhiều đơn vị khám phá, phát triển và vận hành các ứng dụng dựa trên microservice. Lợi ích của công nghệ cloud-native hoàn toàn có thể đạt được mà không phải đánh đổi các tiêu chuẩn bảo mật hiện có, ngay cả trong những lĩnh vực có rủi ro cao.