云原生之容器安全实践

最新推荐文章于 2022-08-31 10:01:35 发布
最新推荐文章于 2022-08-31 10:01:35 发布
阅读量325 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jishulaozhuanjia/article/details/104857640
版权
本文探讨了云原生环境下的容器安全,从Linux内核漏洞、容器自身风险和配置不当三个方面分析了容器的安全威胁。通过容器镜像分析平台和HIDS等措施保障安全。此外,介绍了安全容器如gVisor和Kata Container的隔离技术,以及通过启用安全内核特性来增强安全性。文章最后提到了内核安全补丁的挑战和解决策略,并分享了作者的实践经验。
摘要由CSDN通过智能技术生成

个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 

概述

云原生(Cloud Native)是一套技术体系和方法论,它由2个词组成,云(Cloud)和原生(Native)。云(Cloud)表示应用程序位于云中,而不是传统的数据中心;原生(Native)表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳状态运行,充分利用和发挥云平台的弹性和分布式优势。

云原生的代表技术包括容器、服务网格(Service Mesh)、微服务(Microservice)、不可变基础设施和声明式API。更多对于云原生的介绍请参考CNCF/Foundation

图1 云原生安全技术沙盘(Security View)

笔者将“云原生安全”抽象成如上图所示的技术沙盘。自底向上看,底层从硬件安全(可信环境)到宿主机安全 。将容器编排技术(Kubernetes等)看作云上的“操作系统”,它负责自动化部署、扩缩容、管理应用等。在它之上由微服务、Service Mesh、容器技术(Docker等)、容器镜像(仓库)组成。它们之间相辅相成,以这些技术为基础构建云原生安全。

我们再对容器安全做一层抽象,又可以看作构建时安全(Build)、部署时安全(Deployment)、运行时安全(Runtime)。

在美团内部,镜像安全由容器镜像分析平台保障。它以规则引擎的形式运营监管容器镜像,默认规则支持对镜像中Dockerfile、可疑文件、敏感权限、敏感端口、基础软件漏洞、业务软件漏洞以及CIS和NIST的最佳实践做检查,并提供风险趋势分析,同时它确保部分构建时安全。

容器在云原生架构下由容器编排技术(例如Kubernetes)负责部署,部署安全同时也与上文提及的容器编排安全有交集。

运行安全管控交由HIDS负责(可参考《保障IDC安全:分布式HIDS集群架构设计》一文)。本文所讨论的范畴也属于运行安全之一,主要解决以容器逃逸为模型构建的风险(在本文中,若无特殊说明,容器指代Docker)。

对于安全实施准则,我们将其分为三个阶段:

  • 攻击前:裁剪攻击面,减少对外暴露的攻击面(本文涉及的场景关键词:隔离);
  • 攻击时:降低攻击成功率(本文涉及的场景关键词:加固);
  • 攻击后:减少攻击成功后攻击者所能获取的有价值的信息、数据以及增加留后门的难度等。

近些年,数据中心的基础架构逐渐从传统的虚拟化(例如KVM+QEMU架构)转向容器化(Kubernetes+Docker架构),但“逃逸”始终都是企业要在这2种架构下所面对的最严峻的安全问题,同时它也是容器风险中最具代表性的安全问题。笔者将以容器逃逸为切入点,从攻击者角度(容器逃逸)到防御者角度(缓解容器逃逸)来阐述容器安全的实践,从而缓解容器风险。

容器风险

容器提供了将应用程序的代码、配置、依赖项打包到单个对象的标准方法。容器建立在两项关键技术之上:Linux Namespace和Linux Cgroups。

Namespace创建一个近乎隔离的用户空间,并为应用程序提供系统资源(文件系统、网络栈、进程和用户ID)。Cgroup强制限制硬件资源,如CPU、内存、设备和网络等。

容器和VM不同之处在于,VM模拟硬件系统,每个VM都可以在独立环境中运行OS。管理程序模拟CPU、内存、存储、网络资源等,这些硬件可由多个VM共享多次。

图2 容器攻击面(Container Attack Surface)

容器一共有7个攻击面:Linux Kernel、Namespace/Cgroups/Aufs、Seccomp-bpf、Libs、Language VM、User Code、Container(Docker) engine。

笔者以容器逃逸为风险模型,提炼出3个攻击面:

  1. Linux内核漏洞;
  2. 容器自身;
  3. 不安全部署(配置)。

1. Linux内核漏洞

容器的内核与宿主内核共享,使用Namespace与Cgroups这两项技术,使容器内的资源与宿主机隔离,所以Linux内核产生的漏洞能导致容器逃逸。

内核提权VS容器逃逸

通用Linux内核提权方法论

  • 信息收集:收集一切对写exploit有帮助的信息。 如:内核版本,需要确定攻击的内核是什么版本? 这个内核版本开启了哪些加固配置? 还需知道在写shellcode的时候会调用哪些内核函数?这时候就需要查询内核符号表,得到函数地址。 还可从内核中得到一些对编写利用有帮助的地址信息、结构信息等等。

  • 触发阶段:触发相关漏洞,控制RIP,劫持内核代码路径,简而言之,获取在内核中任意执行代码的能力。

  • 布置shellcode:在编写内核exploit代码的时候,需要找到一块内存来存放我们的shellcode 。 这块内存至少得满足两个条件:

    • 第一:在触发漏洞时,我们要劫持代码路径,必须保证代码路径可以到达存放shellcode的内存。
    • 第二:这块内存是可以被执行的,换句话说,存放shellcode的这块内存具有可执行权限。

  • 执行阶段

    • 第一ÿ
最低0.47元/天 解锁文章
jishulaozhuanjia
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
云原生安全规划与实践.pdf
04-19
云原生安全规划与实践 云原生安全规划与实践云原生大会2021年的一份重要文件,旨在...* 容器安全和微服务安全云原生环境中的容器安全和微服务安全需要自动化和智能化,例如容器安全编排工具、微服务安全API等。
云原生容器技术全解!
最新发布
qq_22201881的博客
07-21 939
虚拟化是云计算的重要基础,容器定义了一套从构建到执行的标准化体系,改变了传统的虚拟化技术,深度影响了云计算领域,容器是云计算的未来。所谓的“轻量级”是指容器是一种进程级的轻量级虚拟化方案,它利用了Linux操作系统级别的命名空间(namespaces)、控制组(cgroups)等技术实现了容器容器间的隔离和容器所使用资源(CPU、内存、I/O)数量的控制。传统的虚拟化技术,创建环境、部署应用、应用的移植性很繁琐,比如把vmware的虚拟机迁移到KVM里就很繁琐,需要做镜像格式的转换。
一文带你了解云原生安全 | 云安全解决方案(CASB、CSPM、CWPP、CNAPP)
热门推荐
西京刀客
06-13 1万+
据Gartner分析师表示,到2025年,超过85%的企业将接受云优先原则,超过95%的新数字工作负载将被部署在云原生平台上,而在2021年这一比例只有30%。 在这样的背景下,云原生安全问题逐渐引起了大家重视。 ...
云原生安全专家观察:容器安全现状和发展趋势
m0_73257876的博客
08-31 2129
另一种比较有意思的是无Agent部署方式,Orca是其中的代表厂商,Orca的方案里,云主机上不会安装Agent,但会对云环境中的块存储进行快照,然后通过快照重建完整的“上下文”,对其进行安全扫描和分析。​刘斌,清华大学工程管理硕士,中移信息云原生安全专家,信通院容器云原生安全规范主要编写者之一,云安全联盟(CSA)专家会员,曾在小佑科技担任产品总监。未来,随着越来越多人了解容器安全,以及真实的增长的安全需求,会促使人们关注点回归问题本质——是否能检测和拦截大多数容器攻击,保护容器云上的数据安全。...
容器环境红队手法总结
Docker的专栏
11-12 452
引言随着云原生的火热,容器容器编排平台的安全也受到了行业关注,Gartner在近期发布的《Kubernetes安全防护指导框架》中给出Kubernetes安全的8个攻击面,总结如下:镜像...
2024应用安全防护之云原生安全实践.pptx
07-19
### 2024应用安全防护之云原生安全实践 #### 一、安全挑战 在当前快速发展的云原生环境中,确保应用的安全性成为了一项极具挑战性的任务。随着云原生应用的设计越来越依赖于云计算的优势,如自动伸缩、自动修复、...
中国联通云原生安全实践白皮书-2022-12
06-11
内容主要讲述了云原生安全典型模型、DevSecOps 开发安全运营一体化模型、云原生安全防护体系、云原生基础架构安全云原生应用安全、微服务架构下...安全防御平台、云原生容器安全管理平台、云原生安全未来发展趋势及展望...
端到端安全阿里云容器服务云原生安全实践.pdf
04-10
总的来说,阿里云容器服务的端到端安全实践是全方位、多层次的,它涵盖了从基础设施到应用,从开发到运行的每一个环节,旨在构建一个安全、可靠、可信赖的云原生环境。通过采用这些最佳实践,企业可以降低安全风险,...
云原生最佳实践合集.pdf
10-21
综上所述,云原生最佳实践合集涵盖了从容器化、微服务、DevOps、Serverless到大数据和云安全的全方位实践,为企业提供了云时代数字化转型的参考路径。这些实践案例证明了云原生技术在提高系统性能、保障服务稳定性、...
容器云常见安全威胁与防范 | 技术干货
CSDN云计算
05-29 2371
戳蓝字“CSDN云计算”关注我们哦!技术头条:干货、简洁、多维全面。更多云计算精华知识尽在眼前,get要点、solve难题,统统不在话下!除了应对常见云平台和传统数据中...
浅谈容器逃逸
key_3_feng的博客
05-17 2685
Linux的使用和认识实验,通过一个小实验认识Linux vDSO
weixin_36247564的博客
05-15 193
这里不再解释vDSO的概念,而直接谈其意义:vDSO类似一个信息公告板,用户可以直取所需,而无需为此办理任何手续。vDSO相当于内核直接暴露出来的一个C库,作为GLIBC的补充。…类似gettimeofday之类的调用,每次都陷入内核去拿一个时间戳,显得有点昂贵了,不如内核把时间戳放在一个公共的可以暴露给任何用户的地方,用户自己去看就行了,这是vDSO的典型用例。为了简单化描述,我们关闭ASLR:...
【新书速递】应用上云成必然趋势,“安全左移”是云原生安全的必经之路?...
华章IT官方博客
11-01 409
云计算一经走向市场,就迅速呈现出强大的生命力。随着大数据时代的到来,云计算成为大数据的承载平台,“云计算+大数据+人工智能”成为新基建的核心。云计算也因大数据、人工智能的不断发展而成为信息...
公有云容器安全
systemino的博客
05-14 381
0x00、前言 IT技术在不断的进步,从虚拟主机技术出现后,我们可以方便快捷的在公有云上建立自己的生产环境,大大提升生产环境部署效率,记得以前一个做游戏的兄弟说,以前做一款游戏,生产环境部署,从服务器采购到真正上线最短也要1~2个月。而使用公有云虚拟机搭建也许1~2周就搞定。那么容器技术的出现,又进一步提升了开发上线的速度,也许你在公有云上搞定以上事情也就1~2天。在方便快捷的同时容器的使用量也...
vdso学习
choumin的专栏
12-18 541
1、只有一小部分系统调用是通过vdso方式实现的,主要涉及get型的系统调用。例如:类似gettimeofday之类的调用,如果每次都陷入内核去拿一个时间戳,会消耗比较多的上下文切换时间,因此,内核把时间戳放在一个公共的可以暴露给任何用户进程的地方,将其映射进用户进程空间。一般来说,通过vdso方式获得的都是一些不太敏感的信息,此时可以不用考虑特权等级,直接在用户态来获取。同时,vdso功能需要libc支持。 2、可以使用这篇博客上介绍的方法将进程地址空间中vdso段的内容dump到文件,可以发现,不同体系
Runc容器运行过程及容器逃逸原理
绝对防御局的博客
02-21 1646
在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。 Kubelet,Cri-O,runc,Linux大致层
vArmor:云原生安全加固与容器隔离技术实践
"vArmor是云原生安全加固的一个开源解决方案,主要针对容器安全,利用Linux的LSM(安全模块)技术,如AppArmor和BPF,构建强制访问控制器,以提升容器安全性。该系统旨在增强容器隔离,降低内核攻击面,使容器逃逸...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值