更多可以关注:青藤云安全和小道安全
在这个数字化转型关键时期,以容器为代表的云原生技术凭借自身的优势,正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权,而是成为了市场主流选择,容器、容器云逐渐成为工作负载的主流形态。
与此相随,云原生大量的新技术,也带来了众多未知的风险敞口,安全防护对象也发生了颠覆性变化,容器正在逐渐成为黑客新的演练场。
容器成为重要的攻击目标
在容器时代,安全面临新旧威胁的双重挑战。一方面,那些传统旧的攻击手段依然有效,包括漏洞利用、暴力破解、权限提升等等。另一方面,新的攻击姿势也是层出不穷,例如投毒镜像、容器逃逸、集群API调用等等,让人防不胜防。
在过去的攻防演练中,就曾发现多起针对容器、集群攻击事件。容器带来新的风险暴露面,给了攻击者众多可乘之机。
为什么容器会成为黑客重点攻击目标?笔者认为核心原因有以下6个方面:
容器的安全建设滞后
容器虽然可以实现更加灵活、更加低成本的软件开发和应用部署,但是对应的容器安全建设却远远滞后于业务发展速度,大量“裸奔”的容器成为了攻击者眼中“香饽饽”。
容器的攻击价值高
在容器集群中,只要攻陷一个容器,就可以横向移动到其它容器上,或者逃逸到node节点上进行持久化,控制整个节点。下一步,攻击者还可以通过漏洞利用或者调用API SERVER控制整个集群。而集群作为集权类系统,一旦失陷,防守方“血条”减少一大截就不可避免了。
容器的攻击面庞大
除了应用本身的脆弱性引入的攻击外,集群、容器运行时本身的脆弱性问题也不容忽视。例如攻击者通过k8s、docker未授权访问长驱直入;集群权限配置不当,攻击者可创建高权容器进行逃逸;利用Linux内核cgroups模块(CVE-2022-0492)进行逃逸。
容器的漏洞影响范围大
在传统操作模式中,所部署的软件在其运行的主机上更新,而容器则必须在上游的镜像中进行更新,然后重新部署。因此,若镜像或基础镜像存在问题,则将至少影响一个或多个集群。
容器的防护难度高
容器安全防护需要覆盖容器构建、部署、运行整个生命周期,所涉及的环节和流程链路都非常复杂。例如,在构建阶段,可能会遇到的软件供应链攻击,包括基础镜像污染、CI工具攻击、制品库漏洞攻击等。在部署阶段也可能面临针对云原生基础设施平台攻击,包括开源组件编排工具等。在运行时阶段,还可能面临针对云原生应用的攻击,包括SQL注入、漏洞、弱口令等。
容器的攻击溯源难
容器的生命周期短,动态变化快,超过50%容器从上线到下架的整个生命周期不超过1天。如何在检测到异常入侵事件之后,快速进行安全响应,把损失降到最低成为了一大安全难题。
容器缺乏有效的安全手段
在传统的安全防护范畴中,组织的“端点、网络、边界”,各个层级相对清晰,但是在云原生环境下这些边界消失了。
近年来,虽然企业组织的安全建设投入大幅度提升,企业组织都部署了基本的防火墙、漏扫、终端安全等常规的安全设备。
但是当容器面临攻击时,传统安全防护手段,无法有效保护容器安全。例如,在IT架构中,如果包含容器、K8S等新型的云原生基础设施时。举个简单的例子,攻击者可以通过多种方式轻松完成一次攻击。一个个小小的漏洞就有可能打穿容器节点,甚至整个集群。
第一步:通过容器应用攻击容器
攻击者通过weblogic远程代码执行漏洞(CVE-2021-2382),获取了一个容器的控制权。
第二步:通过失陷容器攻击其它容器
获取容器控制权后,可通过nmap等网络探测方式发现可访问的容器端口。
第三步:通过容器攻击宿主机
若docker、containered等存在容器逃逸漏洞,可利用此漏洞获取宿主机的控制权。
第四步:通过容器攻击集群
若K8S存在8080、6443未授权访问,可通过容器访问K8S master api进行恶意调用。
试想,面对这样的攻击,不管是边界防火墙,还是终端的安全产品,都无法完成有效安全防护,也无法隔离容器或杀掉容器内恶意进程,更无法提供行之有效的溯源分析,只能通过下线业务的方式缓解影响,但是这无法从根上解决容器的安全问题。
实战化定制容器安全方案
在这样的背景下,青藤基于多年实战化攻防演练的经验,不断升级迭代方案,正式推出升级版《容器安全实战化解决方案V2.0》
关注【小道安全】进行扫码下载《容器安全实战化解决方案V2.0》
该方案覆盖了几个核心环节,包括攻击风险评估、风险收敛整改、攻击行为监控、攻击事件响应、溯源分析报告共五个环节,可实现容器全生命周期的主动防御效果。
1154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
