2023云原生安全威脅分析與能力建設(shè)白皮書

11云原生安全威脅分析與能力建設(shè)白皮書202311云原生安全威脅分析與能力建設(shè)白皮書云原生安全威脅分析與能力建設(shè)白皮書11目錄一、云原生安全概述 9云原生及云原生安全 9云原生 10云原生安全 12云原生安全發(fā)展 14云原生安全風(fēng)險(xiǎn) 17二、云原生關(guān)鍵技術(shù)威脅全景 19云原生安全威脅分析 19路徑1：鏡像攻擊 21鏡像投毒攻擊 21鏡像倉(cāng)庫(kù)攻擊 22中間人攻擊 22敏感信息泄露攻擊 22針對(duì)鏡像不安全配置的攻擊 22路徑2：容器攻擊 23守護(hù)進(jìn)程攻擊 23容器提權(quán)和逃逸攻擊 24拒絕服務(wù)攻擊 25容器網(wǎng)絡(luò)攻擊 26路徑3：編排工具攻擊 26k8s組件攻擊 27服務(wù)對(duì)外暴露攻擊 27業(yè)務(wù)pod攻擊 28集群環(huán)境下的橫向攻擊 29k8s管理平臺(tái)攻擊 29第三方組件攻擊 29路徑4：微服務(wù)攻擊 29API攻擊 0API網(wǎng)關(guān)攻擊 2微服務(wù)應(yīng)用攻擊 32路徑5：ereres攻擊 3事件注入攻擊 34敏感數(shù)據(jù)泄露攻擊 34身份認(rèn)證攻擊 35權(quán)限濫用攻擊 35拒絕服務(wù)攻擊 36針對(duì)函數(shù)供應(yīng)鏈的攻擊 36三、典型攻擊場(chǎng)景分析 37鏡像投毒攻擊 37攻擊場(chǎng)景介紹 37攻擊過(guò)程復(fù)現(xiàn) 38掛載eret導(dǎo)致容器逃逸攻擊 8攻擊場(chǎng)景介紹 38攻擊過(guò)程復(fù)現(xiàn) 39k8s權(quán)限提升攻擊 40攻擊場(chǎng)景介紹 40攻擊過(guò)程復(fù)現(xiàn) 41o認(rèn)證策略繞過(guò)攻擊 3攻擊場(chǎng)景介紹 43攻擊過(guò)程復(fù)現(xiàn) 45四、云原生應(yīng)用保護(hù)能力建設(shè) 47制品安全能力建設(shè) 47代碼安全 48鏡像安全 49制品環(huán)境安全 50安全檢測(cè) 52運(yùn)行時(shí)安全能力建設(shè) 53Web應(yīng)用和API安全 4云原生運(yùn)行時(shí)安全 56網(wǎng)絡(luò)微隔離 58基礎(chǔ)設(shè)施安全能力建設(shè) 59基礎(chǔ)設(shè)施即代碼安全 59權(quán)限管理 60云原生安全態(tài)勢(shì) 60五、總結(jié)與展望 62六、參考文獻(xiàn) 64云原生安全威脅分析與能力建設(shè)白皮書云原生安全威脅分析與能力建設(shè)白皮書PAGEPAGE2圖 目 錄圖1云原生四要素 10圖2云原生四要素的基本含義 11圖3云原生安全框架 13圖4云原生安全能力體系 16圖5云原生關(guān)鍵技術(shù)威脅全景 19圖6容器鏡像安全風(fēng)險(xiǎn) 21圖7容器運(yùn)行時(shí)安全風(fēng)險(xiǎn) 23圖8針對(duì)k8s進(jìn)行攻擊的路徑分析 27圖9針對(duì)微服務(wù)進(jìn)行攻擊的路徑分析 30圖0針對(duì)Kae進(jìn)行攻擊的路徑分析 3圖11鏡像投毒攻擊路徑分析 37圖2反彈el攻擊結(jié)果展示 8圖13容器逃逸結(jié)果展示 40圖14k8s權(quán)限提升攻擊路徑 41圖15利用CVE-2018-1002105竊取高權(quán)限憑證 42圖16未授權(quán)訪問(wèn)結(jié)果 45圖7繞過(guò)oJWT認(rèn)證訪問(wèn)結(jié)果 5圖18云原生應(yīng)用保護(hù)能力建設(shè)架構(gòu)圖 47圖19制品安全能力建設(shè) 48圖20運(yùn)行時(shí)安全能力建設(shè) 54圖21基礎(chǔ)設(shè)施安全能力建設(shè) 59表 目 錄表1云原生安全相關(guān)標(biāo)準(zhǔn) 15云原生安全威脅分析與能力建設(shè)白皮書云原生安全威脅分析與能力建設(shè)白皮書PAGEPAGE64一、云原生安全概述00000幫助，從而保障企業(yè)業(yè)務(wù)和數(shù)據(jù)更安全的在云上運(yùn)轉(zhuǎn)。云原生及云原生安全的核心；在云原生階段，容器和無(wú)服務(wù)器計(jì)算成為核心工作負(fù)載，容器安全、erereseeOpsers5G使云原生技術(shù)更好的賦能企業(yè)數(shù)字化發(fā)展，需要明確云原生和云原生安全。云原生15Pal的高級(jí)產(chǎn)品經(jīng)理ate發(fā)表新書《遷移到云原生5個(gè)主要特征：符合12因素應(yīng)用、面API作為發(fā)起方成立CNCF，指出云原生應(yīng)該包括容器化封裝、自動(dòng)化管理、面向2018年，CNCF又更新了云原生的定義，把服務(wù)網(wǎng)格和聲明式API一體系在反復(fù)的修正與探索中逐漸成熟。wareDevOps、微服務(wù)、容器和持續(xù)集成，如圖1、圖2所示。圖1云原生四要素圖2云原生四要素的基本含義20201]，指出云原生是面代表技術(shù)包括不可變基礎(chǔ)設(shè)施、服務(wù)網(wǎng)格、聲明式APIereres技術(shù)體系和方法論，以DevOps（DerDevOps支持持續(xù)迭代和運(yùn)維自動(dòng)化，利用云平臺(tái)設(shè)施實(shí)現(xiàn)彈性伸縮、動(dòng)態(tài)調(diào)度、優(yōu)化資源利用率。云原生安全2022CNCF4C安全模型[4在解決云原生技術(shù)面臨的安全問(wèn)題。CSA發(fā)布的《云原生安全技術(shù)規(guī)范》中給出了云原生安全框架[6]，如圖3（Pa（ev運(yùn)營(yíng)（Ops）,細(xì)分為需求、設(shè)計(jì)、編碼、測(cè)試、集成、交付、防護(hù)、檢測(cè)和響（藍(lán)色標(biāo)注部分已經(jīng)基本覆蓋全生命周期的云原生安全能力。此外，DevSecOps涉及的能力范圍幾乎覆蓋了橫軸和縱軸的各個(gè)階段，（黃色部分eeOps中運(yùn)營(yíng)階段的能力。圖3云原生安全框架當(dāng)前云原生技術(shù)發(fā)全等，應(yīng)用于云原生環(huán)境，構(gòu)建安全的云原生系統(tǒng)；安全產(chǎn)品具有云原生的新特性，如輕/快/不變的基礎(chǔ)設(shè)施、彈性服務(wù)供彈性、按需、云原生的安全能力，提高“防護(hù)—檢測(cè)—響應(yīng)”閉環(huán)的效率；不僅適用于5G高彈性的傳統(tǒng)場(chǎng)景，最終成為無(wú)處不在的安全。云原生安全發(fā)展/D的復(fù)雜性等。另外，云原生技術(shù)生態(tài)涵蓋基礎(chǔ)設(shè)施到DevOps開發(fā)多個(gè)維度，面：防護(hù)對(duì)象產(chǎn)生變化器的安全性，如容器鏡像的驗(yàn)證和加密、容器漏洞掃描和運(yùn)行時(shí)監(jiān)測(cè)等。架構(gòu)的變化常檢測(cè)等。管理模式的變化的安全治理模式通常是基于靜態(tài)的規(guī)則和策略，針對(duì)云原生DevOps安全治理性檢查等工具，以確保安全策略和控制的持續(xù)有效性。的制定完善工作，CNCF、CSA等組織以及行業(yè)聯(lián)盟等紛紛提出云原生安全標(biāo)行業(yè)逐步走向規(guī)范，推動(dòng)了產(chǎn)品和解決方案逐步走向成熟。全標(biāo)準(zhǔn)陸續(xù)制定和頒布，當(dāng)前相關(guān)主要的標(biāo)準(zhǔn)如表1：表1云原生安全相關(guān)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱簡(jiǎn)要內(nèi)容1云原生安全配置基線規(guī)范ISrrcdk-rxyklt置要求、NI2網(wǎng)絡(luò)安全等級(jí)保護(hù)容器安全要求由中關(guān)村信息安全測(cè)評(píng)聯(lián)盟團(tuán)體標(biāo)準(zhǔn)委員會(huì)提出并歸口，規(guī)定了在云環(huán)境中采用容器集群技術(shù)的等級(jí)保護(hù)對(duì)象要求，包括第一級(jí)至第四級(jí)的安全要求。3云原生能力成1規(guī)定了基于云原生技術(shù)的平臺(tái)架構(gòu)的能力自動(dòng)化能力、無(wú)服務(wù)器化能力以及安全性等方面對(duì)技術(shù)架構(gòu)進(jìn)行評(píng)估。4云原生能力成2規(guī)定了基于云原生構(gòu)建的業(yè)務(wù)應(yīng)用的能力用進(jìn)行評(píng)估。5云原生能力成3范圍原生應(yīng)用安全域、云原生研發(fā)運(yùn)營(yíng)安全域以及云原生安全運(yùn)維域五個(gè)方面6云原生安全API安全治理I云服務(wù)商、安全企業(yè)提供的產(chǎn)品及服務(wù)的能力水平。7護(hù)平臺(tái)力要求由中國(guó)信息通信研究院牽頭編寫，為了云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）的原生應(yīng)用保護(hù)產(chǎn)品質(zhì)量4圖4云原生安全能力體系云原生安全作為一種新興的安全理念，不僅要解決云計(jì)算普及帶來(lái)的安全問(wèn)合，達(dá)到安全左移、持續(xù)監(jiān)控與持續(xù)響應(yīng)的目標(biāo)。云原生安全風(fēng)險(xiǎn)5G20239騰訊研究院發(fā)布的《20237]，在云環(huán)境中容器0%AI23AIKe9%。API業(yè)WbAPI已成為上半年攻防演練中各攻擊隊(duì)最常用的攻擊手段之一。5G5G5G核心網(wǎng)網(wǎng)元和邊緣計(jì)算平臺(tái)就面臨著云原生安全威脅和風(fēng)險(xiǎn)。TOTTOTOT的安全。二、云原生關(guān)鍵技術(shù)威脅全景全面的保障云網(wǎng)環(huán)境的安全。云原生安全威脅分析包括微服務(wù)、ereres。圖515，從攻擊者角度展示云原生應(yīng)用關(guān)鍵技術(shù)面臨的安全威脅。圖5云原生關(guān)鍵技術(shù)威脅全景路徑1：攻擊者通過(guò)攻擊鏡像層，改變?cè)圃鷳?yīng)用的不可變基礎(chǔ)設(shè)施，引導(dǎo)1攻擊、敏感信息泄露攻擊和針對(duì)鏡像不安全配置的攻擊。2容器網(wǎng)絡(luò)攻擊。3k8spod管理平臺(tái)攻擊和第三方組件攻擊APIAPI4API5ereres服務(wù)開發(fā)商和擁有者帶來(lái)了全新的安全挑戰(zhàn)。路徑5顯示了攻擊者利用ereres針對(duì)函數(shù)供應(yīng)鏈的攻擊。15路徑1：鏡像攻擊鏡像是一個(gè)包含應(yīng)用/服務(wù)運(yùn)行所必需的操作系統(tǒng)和應(yīng)用文件的集合，用于6鏡像投毒攻擊

圖6容器鏡像安全風(fēng)險(xiǎn)EXPe署挖礦程序或者攻擊容器內(nèi)運(yùn)行的業(yè)務(wù)。惡意EXP鏡像攻擊者的目的是利用隱pt鏡像倉(cāng)庫(kù)攻擊Harb[eregry[]HarbrQLF2357造成倉(cāng)庫(kù)內(nèi)鏡像的安全隱患。中間人攻擊如何保證容器鏡像從鏡像倉(cāng)庫(kù)到用戶端的完整性也是鏡像面臨的一個(gè)重要會(huì)造成鏡像倉(cāng)庫(kù)和用戶雙方的安全風(fēng)險(xiǎn)。敏感信息泄露攻擊APIHerfeereaer針對(duì)鏡像不安全配置的攻擊過(guò)高，從而引起容器逃逸等安全風(fēng)險(xiǎn)。路徑2：容器攻擊aepae、grp、apab序的安全與隔離。圖7守護(hù)進(jìn)程攻擊

圖7容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)eraenererTAPIeraeneraen和身份驗(yàn)證，攻擊者可能通過(guò)偽造請(qǐng)求的方式，來(lái)達(dá)到欺騙eraen端執(zhí)行危險(xiǎn)的操作。er獲得er平臺(tái)的完全控制權(quán)，進(jìn)而再部署“挖礦”或其他惡意容器。由于eraen容器提權(quán)和逃逸攻擊幾方面：內(nèi)核漏洞導(dǎo)致的容器逃逸：容器本身是一種受到各種安全機(jī)制約束的進(jìn)程，洞產(chǎn)生，就需要考慮它是否能夠用于容器逃逸。危險(xiǎn)配置導(dǎo)致的容器逃逸：erxapabesegedapadaprpPregedApArrux宿主機(jī)磁盤，然后通過(guò)切換目錄實(shí)現(xiàn)容器逃逸。eret（/ar/r/ercprfsCVE-2019-5736拒絕服務(wù)攻擊PUer儲(chǔ)資源（例如進(jìn)程數(shù)量、存儲(chǔ)空間等務(wù)。計(jì)算型DoSBomb是一類典型的針對(duì)計(jì)算資源的拒絕服務(wù)攻擊fork由于宿主機(jī)操作系統(tǒng)內(nèi)核支持的進(jìn)程總數(shù)有限，如果某個(gè)容器遭到了ForkBomb存儲(chǔ)型DSertrpsAFS儲(chǔ)資源限制，因此采用AUFS作為存儲(chǔ)驅(qū)動(dòng)具有一定的安全風(fēng)險(xiǎn)。如果宿主機(jī)上的某個(gè)容器向AUFS文件系統(tǒng)中不斷地進(jìn)行寫文件操作，則可能會(huì)導(dǎo)致宿主機(jī)存儲(chǔ)設(shè)備空間不足，無(wú)法再滿足其自身及其他容器的數(shù)據(jù)存儲(chǔ)需求。容器網(wǎng)絡(luò)攻擊eraAN、Oeray要包括容器網(wǎng)絡(luò)內(nèi)部攻擊和容器網(wǎng)絡(luò)外部攻擊。DoS攻擊風(fēng)險(xiǎn)。容器網(wǎng)絡(luò)外部，由于宿主機(jī)上的所有容器共享物理網(wǎng)卡資源，若外部攻擊者向某一個(gè)目標(biāo)容器發(fā)送大量數(shù)據(jù)包進(jìn)行DDoS路徑3：編排工具攻擊k8s[10]、Opef[]s8k8sk8s組件攻擊

圖8針對(duì)k8s進(jìn)行攻擊的路徑分析14k8s險(xiǎn)，即APIerer未授權(quán)訪問(wèn)、ed未授權(quán)訪問(wèn)、beet未授權(quán)訪問(wèn)、kube-proxy比如abarers服務(wù)對(duì)外暴露攻擊5Nodeyql點(diǎn)通過(guò)ePrtyql攻擊行為即服務(wù)對(duì)外暴露攻擊。業(yè)務(wù)pod應(yīng)用程序的目標(biāo)就是突破入口，拿到業(yè)務(wù)環(huán)境也就是業(yè)務(wù)所在pd的el。6Webpod發(fā)起的攻擊。WebgjCE（-2148）[]prgE（0295）[]，gj2EXPpodpod對(duì)于pod發(fā)起的本地攻擊，主要包括以下幾個(gè)方面：信息收集:進(jìn)入一個(gè)新pod中，首先要做的就是收集當(dāng)前環(huán)境的信息。通過(guò)信息收集，一是為后續(xù)攻擊做準(zhǔn)備，二是發(fā)現(xiàn)敏感服務(wù)和敏感信息,例如內(nèi)網(wǎng)端口、k8s組件端口等。提權(quán)：podk8spodk8sRBAC用于k8s提權(quán)的CVE-2018-1002105CVE-2020-8559等。拒絕服務(wù)：主要從CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)等方面進(jìn)行資源耗盡型攻擊。集群環(huán)境下的橫向攻擊APIerer7、8攻擊APISerers集群的pd和APIerer通信是通過(guò)ereAot的en驗(yàn)證身份的，這里存在一個(gè)攻擊點(diǎn)就是如果pd的ereAotAPIerer通信，則有可能查看集群的一些敏感信息或者執(zhí)行高權(quán)限操作，甚至進(jìn)一步控制集群。攻擊其他服務(wù)：集群中往往會(huì)有一些通過(guò)erP暴露在內(nèi)部的erepd等。k8s除了官方推出的abar，還有很多s管理平臺(tái)，比如aer、Kbepere、KbeOerar等，s管理平臺(tái)存在未授權(quán)訪問(wèn)、弱口令登第三方組件攻擊s生態(tài)中還會(huì)使用一些第三方組件，比如服務(wù)網(wǎng)格、API網(wǎng)關(guān)等，這些APIApaeAPI[]的E[]的未授權(quán)訪問(wèn)或E漏洞等。路徑4：微服務(wù)攻擊AI的不同開發(fā)語(yǔ)言進(jìn)行編寫。圖9API

圖9針對(duì)微服務(wù)進(jìn)行攻擊的路徑分析APIAPIAP問(wèn)源碼，也無(wú)須理解內(nèi)部工作機(jī)制的細(xì)節(jié)。針對(duì)微服務(wù)API的攻擊，包括但不限于以下幾個(gè)方面：缺少身份認(rèn)證導(dǎo)致的攻擊：APIAIAPIAPIAPIAI會(huì)導(dǎo)致越權(quán)類攻擊。API攻擊者可通過(guò)網(wǎng)絡(luò)嗅探等手段直接獲取API的交互格式以及數(shù)據(jù)，通過(guò)對(duì)獲取的數(shù)據(jù)進(jìn)行分析，并進(jìn)行下一步的攻擊。權(quán)限設(shè)計(jì)不合理導(dǎo)致的攻擊：權(quán)限設(shè)計(jì)不合理可能導(dǎo)致水平越權(quán)、垂直越權(quán)A可以訪問(wèn)到屬于同一角色的用戶的數(shù)據(jù)。URL就可以訪問(wèn)或控制其他角色擁有的數(shù)據(jù)，達(dá)到權(quán)限提升的目的。APIAPI擊者可通過(guò)流量攔截等手段獲取API原始返回的數(shù)據(jù)，從而存在數(shù)據(jù)泄漏的隱患。安全配置缺陷導(dǎo)致的攻擊：安全配置缺陷是最常見的安全問(wèn)題，這通常是由于不安全的默認(rèn)配置、不完整的臨時(shí)配置、開源云存儲(chǔ)等問(wèn)題所造成的攻擊。APIAPIAPI服務(wù)架構(gòu)中起到流量樞紐的作用。常用的API網(wǎng)關(guān)類型包括prgdaeway[]、K[]、Zl[]等。2231prgdaewayE]與CVE-2022-22947[20]。攻擊者通過(guò)利用CVE-2022-22947漏洞，執(zhí)行SpEL表達(dá)式，允許在遠(yuǎn)程主機(jī)上進(jìn)行任意命CVE-2022-22946或自定義證書連接到遠(yuǎn)程服務(wù)。微服務(wù)應(yīng)用攻擊APIBug時(shí)，導(dǎo)致代碼中出現(xiàn)安全漏洞、惡意代碼、“后門”等安全隱患。路徑5：Serverless攻擊Kae[]ereresbderngevent/服務(wù)測(cè)性不足、傳統(tǒng)安全方案不兼容不適用等。圖0Kaeereres圖10針對(duì)atie進(jìn)行攻擊的路徑分析事件注入攻擊入威脅。造成數(shù)據(jù)泄露等。舉例來(lái)說(shuō)，可調(diào)用單元的事件還可能來(lái)自受攻擊者控制的WebTop10erpreanfrereres[。敏感數(shù)據(jù)泄露攻擊竊取系統(tǒng)的敏感數(shù)據(jù)。無(wú)服務(wù)器計(jì)算架構(gòu)中函數(shù)調(diào)用的不同服務(wù)通常也會(huì)被其它用據(jù)泄露。密鑰的不安全存儲(chǔ)：通常，服務(wù)被觸發(fā)的時(shí)候需要訪問(wèn)特定的云或外部資源。器功能的應(yīng)用程序一樣，憑據(jù)和密鑰的泄漏可能導(dǎo)致虛擬身份和數(shù)據(jù)泄漏。身份認(rèn)證攻擊ereres架構(gòu)的應(yīng)用是由幾十甚至上百個(gè)函數(shù)組成，每個(gè)函數(shù)實(shí)現(xiàn)特定Webereres如果一個(gè)函數(shù)提供了公開的APIAPI適的身份認(rèn)證，攻擊者可能直接向云存儲(chǔ)注入數(shù)據(jù)進(jìn)行攻擊。權(quán)限濫用攻擊擊面,使敏感數(shù)據(jù)更容易被竊取。拒絕服務(wù)攻擊ereresAI但攻擊者也可以通過(guò)攻擊頻次達(dá)到設(shè)定上限實(shí)現(xiàn)了對(duì)開發(fā)者賬戶拒絕服務(wù)的目的。針對(duì)函數(shù)供應(yīng)鏈的攻擊三、典型攻擊場(chǎng)景分析在對(duì)云原生關(guān)鍵技術(shù)的威脅全景進(jìn)行分析后，本章通過(guò)復(fù)現(xiàn)典型攻擊場(chǎng)景，鏡像投毒攻擊攻擊場(chǎng)景介紹臟牛漏洞E16–9)[]xget_user_pageCOW成COW攻擊者即可利用該漏洞可以實(shí)現(xiàn)提權(quán)的目的。el進(jìn)行危險(xiǎn)操作等攻擊行為，攻擊路徑如圖11所示圖11鏡像投毒攻擊路徑分析攻擊過(guò)程復(fù)現(xiàn)步驟1：構(gòu)建二進(jìn)制漏洞利用程序。bu序作為鏡像的入口點(diǎn)（eryp）3cel12所示：圖12反彈ell攻擊結(jié)果展示掛載DockerSocket攻擊場(chǎng)景介紹erererI[，其中掛載命令如下：DDckrun...-v主機(jī)目錄](méi):]erokerx（xeerereerAIerkerk攻擊過(guò)程復(fù)現(xiàn)：創(chuàng)建一個(gè)容器，并在容器中掛載/ar/r/erkocer un -d --ne h_Dcesock -v /a/un/Dcke.ock:/a/un/Dcke.ockubunu：在容器安裝er命令行客戶端，內(nèi)執(zhí)行以下命令：apt-getupdateapt-getupdateapt-getinstallcurlcul-SLhp://ge.Dce.co/|h步驟3：在容器內(nèi)部創(chuàng)建一個(gè)新的容器，并將宿主機(jī)目錄掛載到新的容器ocerun-t--necnaneinconinr-v/:/htubunu/bn/bh操作結(jié)果如圖3aner__aer可以越權(quán)查看到主機(jī)相關(guān)目錄信息。圖13容器逃逸結(jié)果展示k8s攻擊場(chǎng)景介紹k8s通過(guò)RBAC[25]來(lái)實(shí)現(xiàn)用戶權(quán)限管理，k8s提供了四種RBAC對(duì)象，分別為eeroeeBngeroeBgeeroePdgewah”和“”權(quán)限，eBigeroeBgCVE-2018-1002105[26k8spd權(quán)限的情況下，提升至APIerer權(quán)限，當(dāng)擁有APIerer權(quán)限后，APIererAPIerer,創(chuàng)建掛載宿14k8s攻擊的路徑。

圖14k8s權(quán)限提升攻擊路徑攻擊流程如下大致攻擊流程如下：sAPIererKbeetetwebetKbeet/rgp/請(qǐng)求，獲PodPdsAPIererPdwebetKbeet/eecPdPdatart參數(shù)，從返回結(jié)果中保存竊取到的文件。webetKbeet/eecPdPodcat‘a(chǎn)perer-bee-etrwebetKbeet/eecPdPodcat‘a(chǎn)perer-bee-eteybel4、、6Pod，實(shí)現(xiàn)容器逃逸。攻擊結(jié)果如圖5sAPIerer中竊取了高權(quán)限憑證。圖15利用CVE-2018-1002105竊取高權(quán)限憑證由于攻擊步驟代碼過(guò)長(zhǎng)，詳細(xì)的攻擊源碼見Exploit.py腳本[27]，其中實(shí)現(xiàn)構(gòu)造越權(quán)請(qǐng)求的的代碼如下：efyt_g_piieg(ssck,nmspce,pd):pyod1=hpdlmt.jon((GET/p/v/naespces/{nmspce}/pos/{pd}/xecTT/1.',hthad,auth_header,upgrade_header,conn_header))pyod1=hpdlmtr*2soc.snd(pyoa1.ncod('u-'))nty請(qǐng)求/ap//aepae/{aepae}/p/{p}/eec未包含對(duì)應(yīng)的參Kbeetwebet[]。Istio攻擊場(chǎng)景介紹ooJWTYAMLJWT認(rèn)證策略配置。pVsin:uhencaon.so.i/vapha"nd:olcy"eaa:nm:jw-xapl"nmspce:so-ysempec:rgs:ne:so-ngesgaeay#需要在IioJTigns:j:sue:etito.o"JWT頒發(fā)者jsUr:hps:///js.jsn"JT的JSURLgg_ues:JWT-ncuedpah:#JT-xac:/pducpge#路徑與pduc2055[]oJWTrggeres機(jī)制，簡(jiǎn)單來(lái)講，rggeresrlALeatrl附帶的參數(shù)“?）fraes（"#，而不是在匹配之前將“?”path或“#”進(jìn)行繞過(guò)從而達(dá)到未授權(quán)（JW）訪問(wèn)。攻擊過(guò)程復(fù)現(xiàn)為了復(fù)現(xiàn)攻擊過(guò)程，用戶可以參照文章[]搭建測(cè)試環(huán)境so集群環(huán)境，pbngaewayJWTJWTrlpah/p圖6所示：圖16未授權(quán)訪問(wèn)結(jié)果1aredoJWT所示：圖17繞過(guò)ItoWT認(rèn)證訪問(wèn)結(jié)果0JWTp下的內(nèi)容，從而完成繞過(guò)。四、云原生應(yīng)用保護(hù)能力建設(shè)云原生應(yīng)用的內(nèi)生安全能力，保障云原生應(yīng)用的安全運(yùn)行。APParer21[]APP2023[32]，為云原生應(yīng)用保護(hù)平臺(tái)提出了具體的能力要求。18圖18云原生應(yīng)用保護(hù)能力建設(shè)架構(gòu)圖制品安全能力建設(shè)19代碼安全

圖19制品安全能力建設(shè)在代碼安全方面，需重點(diǎn)考慮靜態(tài)應(yīng)用安全測(cè)試和軟件成分分析兩個(gè)方面。靜態(tài)應(yīng)用安全測(cè)試SASTSASTSAST軟件成分分析SCA針對(duì)第三方開源軟件以及商業(yè)軟件涉及的各種源碼、模塊、框架和庫(kù)開源組件的軟件許可檢測(cè)：軟件許可的濫用可能會(huì)引發(fā)法律風(fēng)險(xiǎn)，需針對(duì)應(yīng)法律糾紛和合規(guī)性問(wèn)題，同時(shí)維護(hù)開源組件的合法使用。開源組件中的風(fēng)險(xiǎn)檢測(cè)：開源組件的風(fēng)險(xiǎn)包括安全漏洞、組件可信度、社區(qū)及時(shí)了解和應(yīng)對(duì)潛在的安全和可維護(hù)性風(fēng)險(xiǎn)，以確保系統(tǒng)的穩(wěn)定性和安全性。鏡像安全者利用。黃金基礎(chǔ)鏡像鏡像風(fēng)險(xiǎn)檢測(cè)（SSH鏡像來(lái)源檢測(cè)像等。以減少惡意或篡改的風(fēng)險(xiǎn)，從而提高容器化應(yīng)用的安全性。制品環(huán)境安全/D被攻擊。應(yīng)建立持續(xù)的、高效的安全能力，增強(qiáng)制品環(huán)境的健壯度。代碼加密存儲(chǔ)與傳輸傳輸，保障數(shù)據(jù)在傳輸過(guò)程中的安全。代碼倉(cāng)庫(kù)安全鏡像倉(cāng)庫(kù)安全的監(jiān)控和報(bào)警體系，對(duì)異?；顒?dòng)進(jìn)行及時(shí)響應(yīng)，提高鏡像倉(cāng)庫(kù)的整體安全性。持續(xù)集成持續(xù)交付環(huán)境安全持續(xù)集成持續(xù)交付環(huán)境是業(yè)務(wù)流轉(zhuǎn)上線的最后一環(huán)，所以針對(duì)集成工具的權(quán)持續(xù)檢測(cè)，加強(qiáng)制品流轉(zhuǎn)安全。安全檢測(cè)webweb應(yīng)用是攻擊者最關(guān)注SAST重點(diǎn)能力包括動(dòng)態(tài)應(yīng)用安全測(cè)試、交互式應(yīng)用安全測(cè)試。動(dòng)態(tài)應(yīng)用安全檢測(cè)DAST通過(guò)模擬實(shí)際攻擊來(lái)評(píng)估應(yīng)用程序的安全性。DAST掃描工具發(fā)送惡意請(qǐng)求和攻擊模擬，然后分析應(yīng)用程序的響應(yīng)，以檢測(cè)潛在的漏洞和安全威脅。這種方法不需要源代碼訪問(wèn)，因此適用于已部署的應(yīng)用程序，可以幫助發(fā)現(xiàn)運(yùn)行時(shí)的安全漏洞。外部實(shí)體注入攻XSS讀取及目錄遍歷、CSRF、未經(jīng)驗(yàn)證的轉(zhuǎn)發(fā)和重定向等。交互式應(yīng)用安全檢測(cè)AT修復(fù)安全問(wèn)題，提高應(yīng)用程序的安全性和穩(wěn)定性。外部實(shí)體注入攻擊、失XSSjpPAH注入、正則表達(dá)式拒絕服務(wù)攻擊等。運(yùn)行時(shí)安全能力建設(shè)運(yùn)行時(shí)安全關(guān)注正在運(yùn)行的業(yè)務(wù)應(yīng)用和容器的安全性，運(yùn)行時(shí)安全主要從WebAPI20圖20運(yùn)行時(shí)安全能力建設(shè)Web應(yīng)用和API安全WebwebSQL入、命令注入攻擊、SWebelWeel、WBCSRFHPPLAPIAPIAPIAPI安全。需要利用各APIAPIAPI的安全性。運(yùn)行時(shí)應(yīng)用程序自保護(hù)0day漏洞攻擊的水平。APJaaAIWebWeb程序具備自我保護(hù)能力，有效彌補(bǔ)原來(lái)防護(hù)體系的不足。RASP與現(xiàn)有的縱深多級(jí)防御體系相結(jié)合，能夠補(bǔ)上現(xiàn)網(wǎng)軟件應(yīng)用系防護(hù)，保證應(yīng)用系統(tǒng)的安全運(yùn)行。WAFWAFHTTPWebWAFWebWeberetPQLSFAPI防護(hù)過(guò)程中，WFAPI的訪問(wèn)日志，并能夠迅速發(fā)現(xiàn)異WAFPWAFAPI網(wǎng)關(guān)API網(wǎng)關(guān)具有身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)校驗(yàn)、限流熔斷等功能，可以幫APIAPI網(wǎng)關(guān)進(jìn)行APIAPI的負(fù)責(zé)人員需要面對(duì)的最大挑戰(zhàn)。API安全審計(jì)工具AI資產(chǎn)的流量上下文及敏感數(shù)據(jù)的持續(xù)分析，可以實(shí)時(shí)發(fā)API資產(chǎn)的授權(quán)類、認(rèn)證類、數(shù)據(jù)暴露類、配置及設(shè)計(jì)不合理等各類邏輯漏API的低頻慢速的攻擊風(fēng)險(xiǎn)，使用賬號(hào)、PAPIBA模型來(lái)感知賬號(hào)共用、借用、盜用等行為導(dǎo)致數(shù)據(jù)泄露的攻擊風(fēng)險(xiǎn)。云原生運(yùn)行時(shí)安全議。資源監(jiān)控云原生環(huán)境中應(yīng)用微服務(wù)化大幅增加了內(nèi)部網(wǎng)絡(luò)流量和服務(wù)通信端口總量，文件完整性安全業(yè)務(wù)容器運(yùn)行所依托的基礎(chǔ)內(nèi)容由鏡像提供，而其在運(yùn)行過(guò)程中可能也會(huì)產(chǎn)web禁止操作等手段，保護(hù)容器運(yùn)行的臨時(shí)數(shù)據(jù)，以避免數(shù)據(jù)泄露。惡意行為檢測(cè)業(yè)務(wù)行為模型歷史數(shù)據(jù)留存在的進(jìn)程、文件、網(wǎng)絡(luò)等多個(gè)方面。網(wǎng)絡(luò)微隔離云原生環(huán)境中應(yīng)用微服務(wù)化大幅增加了內(nèi)部網(wǎng)絡(luò)流量和服務(wù)通信端口總量，東西向流量呈指數(shù)級(jí)增加，增加了安全監(jiān)控和保護(hù)的難度。由于云原生自身資源池化，一個(gè)主機(jī)實(shí)例背后可能存在幾十上百個(gè)容器，傳統(tǒng)基于IP的安全策略不再適用云原生環(huán)境，且業(yè)務(wù)容器接受編排系統(tǒng)的動(dòng)態(tài)調(diào)度，傳統(tǒng)IP的隔離策略也極難適應(yīng)這種持續(xù)的動(dòng)態(tài)變化。流量識(shí)別統(tǒng)計(jì)能力安全風(fēng)險(xiǎn)發(fā)生時(shí)，快速定位風(fēng)險(xiǎn)影響范圍。流量隔離能力P隔離，包括但不限于集群、命名空間、ere、宿主機(jī)、Pd、容器等資源對(duì)abe流量預(yù)發(fā)布能力確保業(yè)務(wù)系統(tǒng)的穩(wěn)定?；A(chǔ)設(shè)施安全能力建設(shè)云基礎(chǔ)設(shè)施安全主要從基礎(chǔ)設(shè)施即代碼（aC）安全、權(quán)限管理（M）21基礎(chǔ)設(shè)施的安全。圖21基礎(chǔ)設(shè)施安全能力建設(shè)基礎(chǔ)設(shè)施即代碼安全ACTTACerFle、afes、HemarsAC可視化管理能力。權(quán)限管理M下編排系統(tǒng)的權(quán)限分配?，F(xiàn)較大、危險(xiǎn)權(quán)限的變更，并建立臺(tái)賬，便于審計(jì)。云原生安全態(tài)勢(shì)相關(guān)能力建設(shè)成為必要。資產(chǎn)管理POereaepae產(chǎn)還應(yīng)清點(diǎn)出關(guān)聯(lián)關(guān)系，以及容器運(yùn)行過(guò)程中的行為等。合規(guī)基線組件安全評(píng)估等。安全策略管理ewrPy、POD對(duì)象動(dòng)態(tài)跟隨，策略管理及回滾等輔助能力。五、總結(jié)與展望API一是云原生安全將進(jìn)一步賦能5G等垂直行業(yè)，5GC網(wǎng)絡(luò)架構(gòu)服務(wù)化和軟5G5G5GC安全的技術(shù)基礎(chǔ)。5G5G邊緣計(jì)算場(chǎng)景。二是云原生技術(shù)與攻防技術(shù)緊密融合發(fā)展，網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，從攻擊,同云原生中的對(duì)抗逐步轉(zhuǎn)化為常規(guī)環(huán)