• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

7 大容器安全一把抓!別讓容器成為駭客下一個易下手目標

2025-08-26
分類 : CISO精選
0
A A
0
I170s18

◤圖片由 Gemini 生成

VM 虛擬機器承襲了與其實體伺服器相同的資安風險,而容器(container)的安全問題,在某種程度上也與其所包含的元件有關,換言之,基於有漏洞之 mySQL 而建立的容器也會有安全疑慮。

編譯/酷魯


雖然 VM、裸機安裝,還是容器其資安關注點與對策在本質上都大同小異。但容器部署與相關工具給那些負責執行應用與服務的團隊帶來特定的安全挑戰,無論是手動將選擇容器的應用程式拼湊在一起,還是透過大規模編排而運行在生產環境中皆如此。

在容器中最耳熟能詳的莫過於已有十多年歷史的 Kubernetes,它最初被設計為一種容器部署的管理工具,如今已發展成全球大規模雲端原生應用的核心編排平台,而且這個僅次於 Linux 的第二大開源專案已與雲端原生應用密不可分。根據 Pure Storage 發布的《Voice of Kubernetes Expert Research》研究報告,有 80% 的組織認為,在未來五年內,他們的大多數新應用都將建立在雲端原生平台上。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]

儘管這些應用在部署上更加靈活與便利,但同時也必須確保容器及其運行環境的安全性。然而,這方面的發展與成熟程度不未如預期。因此,除了要了解當前容器存在什麼安全問題外,還必須釐清容器風險存在的原因,以及可行的安全防護措施與方案有哪些。

內容目錄 隱藏
最常見的容器安全風險
1. 容器映像檔漏洞
2. 錯誤配置
3. 惡意容器映像檔
4. 地下容器(Shadow container)問題
5. 太過複雜的編排層
6. 部署優先思維問題
7. 勒索軟體駭客開始鎖定容器

最常見的容器安全風險

隨著 Docker 執行時期漏洞攻擊(runtime exploit)的揭露,凸顯出雲端原生與其他新興平台已然成為駭客容易下手目標的事實,它最可怕之處就是,駭客可藉此攻擊任何運行容器的主機系統。此外,該事實也反映了當前容器的確存在許多既有與獨有的安全問題。

在容器化的環境中,當前最常見的安全風險主要集中以下幾個層面:

1. 容器映像檔漏洞

根據 Verizon 2024年《資料外洩調查報告》(2024 Data Breach Investigations Report),14% 的資安入侵事件是從漏洞作為切入點開始的。現有的容器映像檔也不例外,其中也潛藏著尚未修補的漏洞。企業必須清楚掌握容器中存在哪些漏洞,以及受影響的映像檔數量。一旦列出所有受影響的映像檔,就能判斷哪些映像檔與部署存在安全風險而必須進行更新。

2. 錯誤配置

當前複雜的應用往往由多個容器組成,一旦設定配置上有任何錯誤)就可能導致不必要的權限開放,進而擴大攻擊面。例如,儘管從容器取得主機的 root 權限並不容易,但以 root 身分執行 Docker 仍是極其常見的做法。

前述所提及的容器漏洞問題並非源自軟體本身的缺陷,而是由於軟體與基礎設施元件設定錯誤所導致的。這類設定疏失所造成的資安風險,與軟體漏洞的威脅等量齊觀。根據 Verizon 2024年《資料外洩調查報告》指出,約有 13% 的資安問題可追溯至錯誤設定。

3. 惡意容器映像檔

2022 年,Sysdig 在 Docker Hub 中發現超過 1,600個被識別為惡意的映像檔,此外還有許多儲存在儲存庫中的容器帶有硬編碼的雲端憑證、SSH 金鑰與 NPM 令牌。由於從公開容器註冊中心拉取映像檔的過程本身不透明,加上容器部署的便利性,導致應用程式很容易由先天不安全、甚至惡意的元件所組成。

4. 地下容器(Shadow container)問題

容器安全中的最大風險來自於未被納入資產清單的工作負載。當開發人員在容器中實作應用程式時,應在映像檔內包含預設的安全機制。但若未落實這一步,容器化應用就可能在缺乏全面監管或資安團隊檢查潛在問題的情況下運行。隨著時間推移,這種「地下容器」(Shadow container)部署會在相關的映像檔中累積更多過時軟體或錯誤設定。長遠來看,這會給開發者帶來更多的風險與更大的維護負荷。

5. 太過複雜的編排層

對於大型專案而言,像 Kubernetes 這類容器編排工具有可能會擴大攻擊面,這通常是拜配置錯誤和高度複雜性所賜。根據企業 Kubernetes 管理平台方案商 D2iQ 在 2022 年的調查,僅 42%在 Kubernetes 上執行的應用最終成功進入生產環境,其中一部分原因即為管理大型叢集的困難與學習門檻太高。

6. 部署優先思維問題

對開發人員而言,他們的目標是更快速地部署更新,任何阻礙都會影響他們的關鍵績效指標(KPI)。然而,這種對「速度」的高度依賴,卻可能讓資安漏洞潛入整個軟體交付流程。在訴求降低風險之資安團隊與開發團隊的拉鋸戰中,往往是開發方佔上風,因為他們的工作與營收直接掛鉤。因此,資安團隊必須與開發人員合作,將資安方法整合進整體軟體開發生命週期(SDLC)中。如此一來,便能在維持開發效率的同時,持續控管風險。

7. 勒索軟體駭客開始鎖定容器

雲端原生安全平台Twistlock 解決方案架構師 Neil Carpenter 表示,勒索軟體是將攻擊變現化的一種方式,勒索軟體駭客會選擇最容易下手的目標,他們把攻擊目標從早期桌機、逐步擴散到伺服器環境。如今他們在容器世界裡,不是找到一個內含未經身分認證端點的 Kubernetes 叢集,就是發現一台可以經由網際網路存取的 docker 伺服器上存在未修補的漏洞,容器如今似乎已成為最新極具吸引力的下手目標。

換言之,當前勒索軟體駭客可以直接把加密貨幣挖礦程式部署到正在執行的環境上,並設定將該程式運行在 Kubernetes 叢集上的排程,這樣駭客可以更「優雅」將攻擊變現化。

[ 延伸閱讀:臉部融合攻擊偵測(MAD)成為 AI 資安新戰場 ]

總而言之,面對容器安全,應先確定責任歸屬問題,但責任鏈應該不僅止於回溯到應用程式開發者身上,作為流程的一部分,也應該將業務單位(line of business)納入其中。至於資安團隊,不能僅僅列舉所有容器應用漏洞與錯誤設定清單,而是利用風險數據來標示哪些問題最緊急、最需優先處理,協助開發者正確分配資源。再者,開發者也可將資安機制納入 CI/CD 流程、確保容器映像檔遵循安全部署準則,也可減少重工與延誤。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

Image 271
標籤: 容器安全資安資訊安全軟體
上一篇文章

綠色金融科技新創加速打開淨零大門

下一篇文章

AI 智慧大腦時代來臨

相關文章

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊
CISO精選

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

2026-07-04
資安長必須能夠回答軟體供應鏈攻擊的五個問題
CISO精選

剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦

2026-06-17
下一篇文章

AI 智慧大腦時代來臨

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【專訪】誠岱機械廠總經理室潘志忠

從賣設備到賣 Uptime 以 AI 與數據推升競爭力 面對全球競爭與供應鏈變局

InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

整理/鄭宜芬 隨著生成式 AI與自動化技術重塑產業生態,資訊安全面臨前所未有的挑

【專訪】振生半導體執行長張振豐

Root of Trust新戰略 迎戰量子安全新世代 生成式 AI 加速落地、智

從案例挖掘 ─ 供應鏈韌性提升的六大要素

面對全球現況與演化趨勢,本文聚焦各產業資訊長與科技主管的實際因應做法,從六個要素

【專訪】遠創智慧資訊處資深經理兼副處長陳懿玲

從 ETC 到停車 AI 治理平台 打造大規模 Edge 營運韌性 在生成式 A

三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

文/鄭宜芬 面對日益複雜的全球網路詐騙,臺灣網路認證公司TWCA 今(1)日攜手

2026 總統盃黑客松國際松徵件啟動 打造 AI「數位共好」新未來

整理/鄭宜芬 數位發展部部長林宜敬表示,面對 AI 快速發展與數位科技深度融入日

地緣政治進入供應鏈,企業無法迴避的現實

當地緣政治成為常態性的營運變數,資訊長所肩負的責任,已遠超過維持系統穩定運行。

AI 時代的新課題:企業如何建立 Token 治理?

掌握五大 Token 治理策略,別讓不透明的 AI 成本燒光您的年度預算! 文/

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音