容器與微服務安全的對抗實踐

威脅框架：細粒度對抗威脅框架：細粒度對抗服務器、工作站、桌面、便攜機、智能移動終端、虛終端檢測與響應系主機側威脅檢測阻斷系統(tǒng)、主機日志采集分析、主機服務器、工作站、桌面、便攜機、智能移動終端、虛終端檢測與響應系主機側威脅檢測阻斷系統(tǒng)、主機日志采集分析、主機容器安全系統(tǒng)終端防御系統(tǒng)（EPP）終端準入系統(tǒng)主機安全主機安全審計系統(tǒng)驅(qū)動級主防系統(tǒng)、分布式防火墻系統(tǒng)、Page2CONTENTSCONTENTS03針對容器和微服務的新型防御威脅框架：細粒度對抗威脅框架：細粒度對抗01云模式的最新趨勢和防御特點威脅框架：細粒度對抗Page5威脅框架：細粒度對抗容器簡介?硬件全虛擬化–KVM、VMware、Hyper-V、Xen等?軟件“輕”虛擬化–Docker?Windows容器不建議在生產(chǎn)環(huán)微服務的特點Page6威脅框架：細粒度對抗威脅框架：細粒度對抗云模式下的開發(fā)運維一體化?開發(fā)/交付?開發(fā)人員：提交結果，輸出容器鏡像?測試人員：獲取鏡像并啟動容器測試?“CI”指持續(xù)集成，它屬于開發(fā)人員的自動化流程?“CD”指的是持續(xù)交付和/或持續(xù)部署?自應用開發(fā)階段引入自動化來頻繁向客戶交付應用的方法(網(wǎng)絡文獻)Page7威脅框架：細粒度對抗威脅框架：細粒度對抗新型云環(huán)境安全防御的特點?容器的自身安全?容器的不可變性?微服務容器的業(yè)務特點Page8威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗02容器相關的典型安全威脅Page10云平臺漏洞案例統(tǒng)計icloud艷照門事件微軟承認遭受solarwinds事件影響2019年，我國境內(nèi)云遭受DDoS攻擊次數(shù)占我國境內(nèi)目標遭受DD被植入后門數(shù)占我國境內(nèi)被植入后門總數(shù)的86被篡改網(wǎng)頁數(shù)占我國境內(nèi)被篡改網(wǎng)頁總數(shù)的87受木馬或僵尸網(wǎng)絡控制的IP地址占我國境內(nèi)受木馬或僵尸網(wǎng)絡控制的IP地址總數(shù)的1.云安全對企業(yè)的戰(zhàn)略意義凸顯；AI等預測技術成為安全防護的重點；相關法律法規(guī)明確安全發(fā)展三大方向：安全合規(guī)、數(shù)據(jù)保護、可信計算和加密算法。虛擬化技術漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（虛擬化技術漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（CVE-2017-4901）。1.Docker配置導致未授權訪問漏洞a.由內(nèi)核引起（CVE-2016-5196Docker使用了低版本內(nèi)核導致容器可被逃逸b.容器本身漏洞，導致被逃逸（CVE-2019-5736）c.配置逃逸微服務漏洞1.springboot配置不當導致未授權訪問ge112.ApacheDubbo反序列化漏洞（CVE-2019-17564、CVE-2020-1948）；3.shrio反序列化漏洞（CVE-2016-4437、CVE-2019-12422）虛擬化技術漏洞統(tǒng)計微服務相關框架漏洞統(tǒng)計Java框架Spring DubboDropwizardAkka2211Net虛擬化技術漏洞統(tǒng)計微服務相關框架漏洞統(tǒng)計Java框架Spring DubboDropwizardAkka2211Net相關微服.NetCore34務框架ServiceFabric1Surging0MircrodotFramework0Node.js相關Seneca2微服務框架Hapi10Restify2Loopback2Go相關微服Go-Kit0務框架(無漏Goa0洞)Dubbogo0KVM74DockerHyper-V98XEN490VMware479國內(nèi)外主流云廠商漏洞統(tǒng)計亞馬遜云70谷歌云4微軟云78阿里云5騰訊云1華為云12百度云0天翼云0分布式基礎組件漏洞統(tǒng)計Elasticsearch70opencron4Hadoop78HBase5Zabbix1Open-Falcon12Page12Flume0Page12ClickHouse0Zipkin70Pinpoint4Memcache78RabbitMQ5RocketMQ1ActiveMQ12HDFS0Spark0威脅框架：細粒度對抗Page13威脅框架：細粒度對抗案例一：Shiro-550反序列化漏洞分析?漏洞影響攻擊者可以使用它來獲得應用所在容器的控制權限。?處理結果Page14據(jù)AES初始化向量Page15案例一：反序列化漏洞利用通過ls-alh/.dockerenv可識別目標服務案例一：漏洞威脅捕獲?版本選型，通過對開源組件、庫等的漏洞掃描，提前捕獲低版本依賴中的漏洞，以確認相關安全版本?處理http數(shù)據(jù)請求，比如:apache.catalina.core.ApplicationFilterChain.doFilter()?構造反序列化的過程中，會利用Java語言本身的特性構造gadget，而他的執(zhí)行流程和正常業(yè)務邏輯Page16威脅框架：細粒度對抗威脅框架：細粒度對抗案例二：Docker容器逃逸安全漏洞分析?漏洞影響?漏洞影響在默認設置下運行的Docker容器，并且攻擊者可以使用它來獲得主機上的root級訪?處理結果?目前該漏洞已經(jīng)修補，大于此版本的DockePage17威脅框架：細粒度對抗威脅框架：細粒度對抗Page18案例二：Docker容器逃逸安全漏洞分析容器里面被啟動一份，因此攻擊者利用容器容器里面被啟動一份，因此攻擊者利用容器共享系統(tǒng)內(nèi)核對象的機制，遍歷容器內(nèi)進程安全風險分析容器加固方案Page19容器內(nèi)覆蓋目標文件為#!/proc/self/exe這樣的腳本內(nèi)容案例二：Docker容器逃逸安全漏洞分析容器內(nèi)覆蓋目標文件為#!/proc/self/exe這樣的腳本內(nèi)容攻擊者使用高級語言編寫PoC。通過O_PATH標志,忽略權限打開runc所在/proc/${pid}/exe的fd。然后在從文件標識符中（/proc/self/fd/${fd候會覆蓋宿主機上的runc文件Page20案例二：Docker容器逃逸安全漏洞分析最新云環(huán)境的安全風險抓取內(nèi)容、分發(fā)垃圾郵件、運行分布式拒絕服務攻擊等行為的機器人）都是研究表明，在這些任務中，更受歡迎的是加密貨幣挖礦（cryptomining），在某種程度Page21威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗8威脅框架：細粒度對抗87677454數(shù)據(jù)來源阿里云Page22威脅框架：細粒度對抗威脅框架：細粒度對抗針對容器和微服務的新型防御編碼階段防御措施?Page24威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗發(fā)布階段防御措施