容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)_第1頁(yè)
容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)_第2頁(yè)
容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)_第3頁(yè)
容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)_第4頁(yè)
容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

引言由于容器在隔離和安全性方面存在的天然缺陷,隨著安全攻防的演練和安全意識(shí)的提升,容器的弱安全性和分布式復(fù)雜性成為容器企業(yè)級(jí)應(yīng)用的阻礙,容器云采用面臨著安全挑戰(zhàn)。如何使企業(yè)在云原生時(shí)代具備容器安全防護(hù)能力是推進(jìn)容器云企業(yè)級(jí)應(yīng)用的一個(gè)重要方面。一、容器云安全特點(diǎn)云原生環(huán)境下和傳統(tǒng)以安全域劃分實(shí)現(xiàn)安全管控的方法有所不同。網(wǎng)絡(luò)安全域劃分限制了云原生的彈性和擴(kuò)展性能力。云原生消除了這種硬網(wǎng)絡(luò)邊界,通過(guò)軟件來(lái)定義邊界和網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)安全能力、身份認(rèn)證和權(quán)限管控提出了更高的要求。容器云作為云原生應(yīng)用的部署運(yùn)維平臺(tái),居于云原生技術(shù)架構(gòu)的中心。容器的彈性、生命周期短、輕量和數(shù)量眾多、故障自愈(異常重啟遷移)等也使容器安全具備動(dòng)態(tài)、敏捷迭代、更大攻擊面、難以跟蹤等特點(diǎn)。1.動(dòng)態(tài)難跟蹤采用容器最核心的是用其按需彈性伸縮的能力,所以也使容器云環(huán)境持續(xù)在動(dòng)態(tài)變化中。容器云環(huán)境中容器可能不斷地被創(chuàng)建和銷(xiāo)毀、自我復(fù)制、從一臺(tái)節(jié)點(diǎn)遷移到另外一臺(tái)節(jié)點(diǎn)等。這和傳統(tǒng)服務(wù)器上部署一個(gè)或幾個(gè)固定的應(yīng)用或組件是不一樣的,管理方式也面臨著挑戰(zhàn),安全的防護(hù)意識(shí)和手段也需要變革。動(dòng)態(tài)變化的容器安全除了通過(guò)安全左移盡可能消除安全漏洞外,也需要將傳統(tǒng)通過(guò)防火墻、黑白名單等靜態(tài)安全防護(hù)方式轉(zhuǎn)變?yōu)槎喾N手段的實(shí)時(shí)檢測(cè)和防護(hù)。2.敏捷迭代輕量的容器適合承載微服務(wù)化應(yīng)用,以支持應(yīng)用快速變更、敏捷迭代、彈性可擴(kuò)展性等需求。采用DevOps化的應(yīng)用發(fā)布非常頻繁,可能是傳統(tǒng)應(yīng)用發(fā)布方式的幾倍、幾十倍甚至幾百倍等。容器安全漏洞往往通過(guò)快速發(fā)布一個(gè)修復(fù)了漏洞的新的版本來(lái)替換,而不是為容器安裝補(bǔ)丁。提升了業(yè)務(wù)服務(wù)的迭代速度。3.更大的攻擊面云原生架構(gòu)體系涉及的技術(shù)和組件眾多,容器云平臺(tái)自身也擁有眾多的開(kāi)源組件,這勢(shì)必會(huì)帶來(lái)很多潛在的風(fēng)險(xiǎn),比如操作系統(tǒng)內(nèi)核漏洞、操作系統(tǒng)組件漏洞、log4j漏洞、JacksonJson漏洞、k8s漏洞、SpringCloud漏洞等。另外,很多企業(yè)的鏡像都是來(lái)自于互聯(lián)網(wǎng),這些鏡像往往本身就存在很多漏洞,有的甚至被注入木馬;微服務(wù)化使鏡像和容器的數(shù)量成倍的增加,也就使暴露的漏洞數(shù)量成倍增加;容器云大二層網(wǎng)絡(luò)模式更暴露了大量的業(yè)務(wù)IP,帶來(lái)了更大的攻擊面。4.更多風(fēng)險(xiǎn)來(lái)源由于鏡像來(lái)源于不同的地方,特別是很多企業(yè)供應(yīng)商眾多,開(kāi)發(fā)人員數(shù)量龐大,很多基礎(chǔ)鏡像來(lái)源不明,可能存在很多風(fēng)險(xiǎn),鏡像掃描雖然可以消除大部分漏洞,但一些經(jīng)過(guò)處理隱藏的文件可能難以被探測(cè)到。另外由于容器云平臺(tái)存在更大的攻擊面,其潛在風(fēng)險(xiǎn)就可能數(shù)倍增加。容器云安全特點(diǎn)也使容器云平臺(tái)的建設(shè)和運(yùn)營(yíng)面臨著安全防護(hù)意識(shí)和安全防護(hù)方式的挑戰(zhàn)。二、容器云安全挑戰(zhàn)1.安全防護(hù)意識(shí)挑戰(zhàn)相對(duì)于傳統(tǒng)網(wǎng)絡(luò)分域安全管控,云原生的大一統(tǒng)網(wǎng)絡(luò)模式模糊了安全邊界概念。如果要實(shí)現(xiàn)容器云平臺(tái)的彈性伸縮、自由擴(kuò)展能力,在網(wǎng)絡(luò)層和資源層就不能有那么多限制,網(wǎng)絡(luò)邊界不能劃分的太細(xì)。當(dāng)前由于攻防演練等要求,企業(yè)內(nèi)部物理網(wǎng)絡(luò)安全域有劃分的越來(lái)越小的趨勢(shì),導(dǎo)致很多公司在不同的安全域安裝容器云集群,也使集群數(shù)量倍增,但每個(gè)集群都不大,資源有限,做不到合理彈性;另外需要在眾多的防火墻上配置端口訪(fǎng)問(wèn)權(quán)限,使容器云管理變的復(fù)雜化,使業(yè)務(wù)訪(fǎng)問(wèn)效率和交互性能下降。筆者分享過(guò)容器云安全意識(shí)所面臨的挑戰(zhàn),需要認(rèn)識(shí)到傳統(tǒng)網(wǎng)絡(luò)安全和云原生安全的不同,盡可能減少風(fēng)險(xiǎn)接觸面;同時(shí)需要認(rèn)識(shí)到架構(gòu)發(fā)展的趨勢(shì),以融合架構(gòu)逐步引領(lǐng)單體豎井架構(gòu)轉(zhuǎn)型,實(shí)現(xiàn)企業(yè)級(jí)復(fù)用;通過(guò)安全等基礎(chǔ)設(shè)施自服務(wù)化來(lái)賦能研發(fā)和業(yè)務(wù)團(tuán)隊(duì),促進(jìn)企業(yè)DevOps組織團(tuán)隊(duì)的建設(shè)和優(yōu)化,從而協(xié)調(diào)生產(chǎn)關(guān)系適應(yīng)生產(chǎn)力的發(fā)展。只有想不到,沒(méi)有做不到。安全意識(shí)的提升和變革是最難的。特別這么多年固有的思維方式,以及變革可能帶來(lái)的不穩(wěn)定和風(fēng)險(xiǎn),都會(huì)阻礙新方式和方法的采用。2.安全防護(hù)方式挑戰(zhàn)容器云安全防護(hù)方式也不同于傳統(tǒng)網(wǎng)絡(luò)安全的被動(dòng)防御,需要從被動(dòng)轉(zhuǎn)換為主動(dòng)防護(hù),從靜態(tài)檢測(cè)轉(zhuǎn)變?yōu)榻换ナ綑z測(cè)。容器在帶來(lái)彈性可擴(kuò)展性等便利的同時(shí),也封裝了內(nèi)部邏輯,對(duì)很多人來(lái)說(shuō)是一個(gè)“黑盒”,如果僅采用傳統(tǒng)的鏡像文件靜態(tài)掃描,很難發(fā)現(xiàn)容器運(yùn)行時(shí)的危險(xiǎn)操作。容器云主動(dòng)的防護(hù)方式,首先可以利用安全左移思想,將安全隱患盡可能消除在開(kāi)發(fā)階段。但安全左移不是說(shuō)不重視容器運(yùn)行時(shí)環(huán)境,運(yùn)行時(shí)的安全措施一點(diǎn)也不能少。安全左移重要的一點(diǎn)是提升研發(fā)的安全意識(shí),減少引入不必要的漏洞。其次,安全能力可以作為一種基礎(chǔ)設(shè)施,提供安全自服務(wù)能力,賦能應(yīng)用研發(fā)和運(yùn)維團(tuán)隊(duì),降低安全應(yīng)用門(mén)檻。比如說(shuō),容器pod運(yùn)行時(shí)危險(xiǎn)命令執(zhí)行、敏感目錄掛載、異常流量或異常訪(fǎng)問(wèn)等可以通過(guò)權(quán)限管控直接讓?xiě)?yīng)用研發(fā)和應(yīng)用運(yùn)維人員可見(jiàn),這樣也可以快速定位問(wèn)題。面對(duì)云原生環(huán)境下和傳統(tǒng)網(wǎng)絡(luò)環(huán)境下并存的容器云環(huán)境安全挑戰(zhàn),不少的企業(yè)和組織也提供了很多的方案、很多的安全框架及安全模型。在安全攻防應(yīng)對(duì)上,當(dāng)前Att&CK框架比較受關(guān)注。三、ATT&CK框架ATT&CK框架由美國(guó)研究機(jī)構(gòu)MITRE在2013年提出的,它將已知攻擊者的行為匯總為戰(zhàn)術(shù)和技術(shù)的結(jié)構(gòu)化列表,相對(duì)全面的呈現(xiàn)了攻擊者在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)所采取的行為和技術(shù),對(duì)于企業(yè)進(jìn)行安全攻防建設(shè)具有非常重要的參考價(jià)值。(讀者有興趣可以搜索“ATT&CK”以獲取更多更深入的內(nèi)容。)ATT&CK也對(duì)比了眾多的報(bào)告,列出了攻擊者最常用的攻擊手段,另外RedCanary也基于客戶(hù)環(huán)境發(fā)生的惡意事件的分析提出了供給者常用的攻擊手段,結(jié)合兩項(xiàng)分析結(jié)果,可以看到常用的攻擊技術(shù)有PowerShell、腳本執(zhí)行、命令行界面、注冊(cè)表RunKeys/啟動(dòng)文件夾、偽裝、混淆文件或信息、憑據(jù)轉(zhuǎn)儲(chǔ)等。我們?cè)诮ㄔO(shè)容器云平臺(tái)的時(shí)候,就要求禁用命令行操作,不提供終端工具,所有的操作通過(guò)平臺(tái)界面完成,這樣可以有效的進(jìn)行操作審計(jì),規(guī)避誤操作等問(wèn)題。四、容器云安全攻防應(yīng)對(duì)ATT&CK框架有數(shù)百種攻擊技術(shù),并且可能隨著技術(shù)應(yīng)用和發(fā)展而不斷開(kāi)發(fā)出新的技術(shù),作為容器云安全攻守的守方,該如何應(yīng)對(duì)?知己知彼,是安全應(yīng)對(duì)的第一步。1.知己知彼容器云安全攻防應(yīng)對(duì)中,知己首先要對(duì)容器云上的相關(guān)資產(chǎn)進(jìn)行梳理。容器云平臺(tái)自身可能實(shí)現(xiàn)了部分能力,但往往并沒(méi)有全面梳理資產(chǎn),很多資產(chǎn)不可見(jiàn)。比如說(shuō)每個(gè)容器創(chuàng)建了多少進(jìn)程,如果看不到,就無(wú)從監(jiān)控和應(yīng)對(duì)。容器云平臺(tái)安全首先要對(duì)容器相關(guān)的資產(chǎn)從不同的視角進(jìn)行梳理,做到可見(jiàn)、可管理。知彼是要對(duì)攻擊者的手段有所了解。ATT&CK的戰(zhàn)術(shù)和技術(shù)框架給我們了一個(gè)非常好的參考。通過(guò)ATT&CK框架可以了解到哪種戰(zhàn)術(shù)有哪些技術(shù)手段,從而根據(jù)自己的資產(chǎn)和技術(shù)能力選擇合適的架構(gòu)和方案。2.選擇合適的架構(gòu)和方案筆者在規(guī)劃容器云安全架構(gòu)時(shí),定義了縱向分層、橫向分段的安全網(wǎng)格方案(可參考:《基于容器特點(diǎn)和傳統(tǒng)網(wǎng)絡(luò)安全能力進(jìn)行容器云安全規(guī)劃設(shè)計(jì)》),對(duì)容器云平臺(tái)不同點(diǎn)的安全問(wèn)題更有針對(duì)性地采取合適的安全措施。其實(shí)這和ATT&CK的戰(zhàn)術(shù)和技術(shù)框架有點(diǎn)類(lèi)似。安全涉及方方面面,既需要整體的規(guī)劃實(shí)現(xiàn)協(xié)作關(guān)聯(lián)、也需要每一個(gè)點(diǎn)實(shí)實(shí)在在的防護(hù)措施。比如說(shuō),鏡像漏洞問(wèn)題,既需要在開(kāi)發(fā)階段選擇安全的基礎(chǔ)鏡像和構(gòu)建安全合規(guī)的服務(wù)鏡像,通過(guò)安全掃描,滿(mǎn)足合規(guī)要求才能上傳鏡像庫(kù)。但如果不按要求繞過(guò)流程直接上傳鏡像到鏡像庫(kù),甚至直接上傳鏡像到容器節(jié)點(diǎn),可能會(huì)帶來(lái)一些風(fēng)險(xiǎn)。因此在不同的點(diǎn)位都需要安全檢查:代碼安全檢查、流水線(xiàn)鏡像安全檢查、鏡像倉(cāng)庫(kù)鏡像檢查、節(jié)點(diǎn)鏡像檢查、容器運(yùn)行時(shí)鏡像檢查等。容器云安全分層中,可以把業(yè)務(wù)服務(wù)、租戶(hù)用戶(hù)的訪(fǎng)問(wèn)控制和k8s層的認(rèn)證授權(quán)關(guān)聯(lián)起來(lái),明確層次之間映射的關(guān)系。很多人不在k8s層創(chuàng)建ServiceAccount,直接用Apiserver的admin賬號(hào),這會(huì)存在隱患。有Apiserver的admin權(quán)限,就可以查看集群內(nèi)所有的資產(chǎn)和資源,也就失去了通過(guò)命名空間進(jìn)行隔離的意義,所有的服務(wù)都可能被泄露。3.選擇合適的應(yīng)對(duì)技術(shù)通過(guò)安全網(wǎng)格劃分,可以有針對(duì)性地選擇合適技術(shù),提升安全能力,增強(qiáng)檢測(cè)和應(yīng)對(duì)能力。容器云平臺(tái)有眾多的開(kāi)源組件和服務(wù),攻擊面龐大,比如說(shuō)網(wǎng)絡(luò)、主機(jī)節(jié)點(diǎn)、存儲(chǔ),容器運(yùn)行時(shí),鏡像,編排及組件安全,應(yīng)用、數(shù)據(jù)等。針對(duì)ATT&CK框架每項(xiàng)攻擊技術(shù)MITRE也提供了應(yīng)對(duì)方法Shield防御技術(shù),比如說(shuō)”進(jìn)程發(fā)現(xiàn)“,可以通過(guò)隱藏主動(dòng)防御進(jìn)程和進(jìn)程誘餌來(lái)吸引攻擊者,獲得攻擊者信息以便進(jìn)一步采取措施。4.持續(xù)演練、總結(jié)和改進(jìn)攻擊的手段層出不窮,只有熟悉攻擊的手段和方法,持續(xù)的監(jiān)控和響應(yīng),才能構(gòu)建堅(jiān)實(shí)的防御。有條件的情況下可以嘗試不斷進(jìn)行攻防演練,總結(jié)不足,持續(xù)的改進(jìn)完全弱點(diǎn),才能不斷地增強(qiáng)安全能力。

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論