容器云安全風險分析及防護體系設計

０引言容器技術發(fā)展歷史長達20年，經歷了從Unixchroot、FreeBSDJails、LinuxVServer、SolarisContainers、OpenVZ、ProcessContainers、LXC、Warden、LMCTFY、Docker、Rocket、WindowsContainers的發(fā)展過程，逐漸開始成熟。隨著云計算技術的發(fā)展，容器云技術的使用也越來越廣泛，越來越多的企業(yè)機構開始采用容器作為新的IT基礎設施。容器技術逐步發(fā)展成以Kubernetes容器管理調度框架和Docker容器管理器為核心的容器云技術生態(tài)。圖1容器云技術生態(tài)開源容器云技術生態(tài)主要圍繞Kubernetes，構建容器管理、容器編排調度、容器網(wǎng)絡管理、容器存儲管理、容器鏡像管理等能力。Kubernetes提供了標準的接口，主要包括容器運行時接口CRI、容器網(wǎng)絡接口CNI、容器存儲接口CSI，以及API接口，其他開源組件按照對應接口與Kubernetes對接；同時，Kubernetes形成了可擴展的開發(fā)框架，可以基于該框架開發(fā)自定義的功能和接口。１容器云安全現(xiàn)狀概述1.1容器云安全標準規(guī)范1.1.1國外標準規(guī)范美國國家標準與技術研究院（NationalInstituteofStandardsandTechnology,NIST）發(fā)布了《NIST.SP.800—190應用容器安全指南》。該指南總結概括了容器使用過程中存在的安全問題，并對這些問題提供了針對性的對策和建議。容器安全問題主要包括：①容器鏡像風險：可能存在安全漏洞、鏡像配置缺陷、惡意軟件植入、未信任鏡像及明文存儲的風險；②容器鏡像倉庫風險：包括與鏡像倉庫的連接不安全、鏡像倉庫中的鏡像過時和不完備的認證機制；③容器編排工具風險：包括管理訪問權限不受限制、未經授權的訪問、容器間網(wǎng)絡流量隔離效果差、混合不同敏感級別的工作負載、編排節(jié)點的可信問題；⑤容器實例風險：包括運行時軟件中的漏洞、容器的網(wǎng)絡訪問不受限制、容器運行時配置不安全、流氓容器；⑥容器主機操作系統(tǒng)風險：包括攻擊面大、共享內核、主機操作系統(tǒng)組件漏洞、用戶訪問權限不當、篡改主機操作系統(tǒng)文件的文件系統(tǒng)。為了應對上述風險，《NIST.SP.800-190應用容器安全指南》中提出容器的安全防護應該覆蓋整個容器的生命周期，即容器的構建、分發(fā)和運行三個階段，才能確保持續(xù)的安全性。因此：①需要確保容器構建的安全；②需要確保容器鏡像分發(fā)的安全；③需要確保容器運行的安全。由此可見，《NIST.SP.800—190應用容器安全指南》主要針對容器技術本身，沒有綜合考慮容器云環(huán)境系統(tǒng)性、體系化的安全防護能力要求。1.1.2國內標準規(guī)范目前，國內容器云安全仍處于研究和探索階段，一些研究機構、云廠商和安全廠商，提出容器安全白皮書，主要圍繞容器脆弱性、安全威脅闡述了容器云的安全風險，并從容器服務、主機、鏡像、網(wǎng)絡、運行、編排多個方面提出安全防護思路和方法。個別安全廠商推出了容器安全解決方案，從容器安全風險出發(fā)，圍繞容器構建、分發(fā)、運行對容器進行安全防護，沒有體系化考慮容器云安全防護體系架構。1.2容器云安全應用實踐1.2.1DoD企業(yè)級DevSecOpsDoD企業(yè)級DevSecOps將云廠商、安全廠商和應用廠商聯(lián)合起來，圍繞應用系統(tǒng)設計、編碼、編譯、打包、發(fā)布、部署、測試、上線、運營等從開發(fā)到運維，提供全生命周期的安全防護。DoD企業(yè)級DevSecOps充分利用開源和業(yè)界的成熟產品，比如紅帽的企業(yè)級容器平臺OpenShift。1.2.2綠盟容器安全解決方案綠盟星云實驗室提出的容器安全解決方案，支持容器鏡像和倉庫的漏洞掃描，異常行為檢測，訪問控制等功能，實現(xiàn)了從容器鏡像構建到運行的防護。1.2.3安全狗云甲容器自適應安全管理系統(tǒng)安全狗云甲容器自適應安全管理系統(tǒng)，采用機器學習、智能檢測等新技術對容器生命周期進行自適應安全防護和統(tǒng)一管理，滿足用戶對容器相關資產的可視化管理、安全事件分析、合規(guī)檢測等容器安全管理需求。1.2.4青藤蜂巢容器安全產品青藤蜂巢容器安全產品，采用Agent-Server技術架構，針對漏洞、不安全配置、入侵攻擊，結合安全策略，提供覆蓋容器生命周期的、持續(xù)性安全防護。1.2.5華為容器安全服務華為容器安全服務，能夠掃描鏡像中的漏洞與配置信息，幫助用戶解決傳統(tǒng)安全軟件無法感知的容器環(huán)境問題，同時提供容器進程白名單、文件只讀保護和容器逃逸檢測功能，能有效防止容器運行時安全風險事件的發(fā)生?？偟膩砜?，當前容器云安全防護系統(tǒng)都僅圍繞局部的容器安全風險進行安全防護，沒有針對容器云安全風險進行全面分析和綜合防護。２容器云安全風險分析現(xiàn)有容器云的安全配置規(guī)范應用情況不理想，在生產環(huán)境中未落實，全球有大量的容器云和容器實例暴露于互聯(lián)網(wǎng)，攻擊者可利用容器云脆弱性發(fā)起攻擊，一旦攻陷，將會對生產環(huán)境產生巨大的安全威脅。因此，需要針對典型容器云平臺環(huán)境，進行全面、系統(tǒng)性的安全風險分析，進而體系性設計容器云安全防護體系。2.1容器云攻擊路徑分析典型容器云部署模式、形態(tài)、角色多樣化，主要部署模式分為：①裸金屬部署；②私有云部署；③公有云部署；主要部署形態(tài)為直接部署于裸金屬服務器和云主機（虛擬機）；主要部署角色有管理節(jié)點、計算節(jié)點、存儲節(jié)點。因此，典型容器云的攻擊路徑如圖2所示。圖2容器云攻擊路徑分析通常，針對容器云的攻擊主要是由外部惡意用戶和內部惡意管理員從網(wǎng)絡側發(fā)起攻擊，攻擊對象主要包括：①容器化微服務網(wǎng)絡攻擊：潛在攻擊者通過高級可持續(xù)攻擊（AdvancedPersistentThreat，APT）等方式攻擊容器中的應用程序，并利用應用程序漏洞或者容器權限，執(zhí)行服務破壞、惡意操作、數(shù)據(jù)竊取或進行橫向擴展。②容器云組件漏洞攻擊：潛在攻擊者獲取容器權限后，通過容器與容器編排組件的脆弱性，越權逃逸，進入云服務提供商所使用的虛擬機實例或宿主機操作系統(tǒng)，隨后進一步攻擊虛擬機監(jiān)視器進而控制云平臺底層資源并進行橫向擴展。③容器鏡像倉庫攻擊：潛在攻擊者通過攻擊容器鏡像倉庫，可以篡改容器鏡像，在容器鏡像中植入惡意代碼，用戶使用帶有惡意代碼的容器并運行后，攻擊者利用惡意代碼執(zhí)行惡意操作。④界面、API接口缺陷：已獲取容器云權限的攻擊者和惡意管理員通過容器云提供的控制臺或開放式API，利用控制臺應用漏洞或API漏洞訪問，對容器云平臺業(yè)務、運維和管理連接的內部網(wǎng)絡進行攻擊，進而隨意橫向擴展攻擊其他容器和組件。⑤硬件管理接口缺陷：潛在攻擊者通過裸金屬服務開放的管理接口存在的漏洞和缺陷，控制服務器底層硬件，并進一步利用管理網(wǎng)絡橫向擴展，作為跳板攻擊云管理、服務器管理、網(wǎng)絡管理和存儲管理，癱瘓整個容器云基礎設施。2.2容器云安全漏洞分析2.2.1容器云安全漏洞統(tǒng)計截至2020年10月，容器云各關鍵組件漏洞統(tǒng)計分型情況如圖5所示，其中Docker相關的漏洞共81個，在漏洞數(shù)量上并沒有明顯減少的趨勢，一旦黑客突破Docker，如容器逃逸，將會對主機造成巨大威脅；Kubernetes的安全對整個項目的安全生產運行是一個重要保障，Kubernetes相關的漏洞共65個，主要的漏洞類型包括：敏感數(shù)據(jù)泄露、拒絕服務、弱校驗、非法提權等；etcd有輕量級、簡單、高效等優(yōu)勢，但其安全性也同樣值得關注，etcd相關的漏洞共7個；Istio是連接、加固、控制和觀察微服務的開放平臺，具備負載均衡、服務到服務的認證、監(jiān)控等功能，解決微服務治理中的諸多難題，相關的漏洞共9個。容器各關鍵組件高危漏洞分型統(tǒng)計情況如圖3所示。圖3容器關鍵組件高危漏洞分型統(tǒng)計除容器云組件漏洞頻發(fā)外，容器鏡像安全形勢也十分嚴峻，在用戶的生產環(huán)境中，有40%的鏡像來源于公開的鏡像倉庫，鏡像的漏洞問題依然十分突出，對生產環(huán)境中的鏡像漏洞掃描通過率僅為48%。2.2.2容器云安全漏洞趨勢圖4容器關鍵組件歷年漏洞數(shù)量走勢近年來，隨著容器云廣泛應用，容器云安全漏洞頻繁被發(fā)現(xiàn)，呈逐年上升趨勢（統(tǒng)計趨勢如圖4所示），漏洞影響越來越嚴重。如果沒有及時、有效的防范，攻擊者利用這些漏洞，可輕易對容器云基礎設施造成致命攻擊。2.3容器云安全事件分析2017年1月，IBM將私鑰泄露到了公有主機環(huán)境上，這會將訪問托管容器底層主機的root訪問權授予普通云服務用戶，使底層云平臺的信息安全面臨巨大威脅。2019年4月，DockerHub遭受非法入侵，已導致19萬個賬號的敏感數(shù)據(jù)被泄露，這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼，以及用于自動構建Docker鏡像而授權給DockerHub的GitHub和Bitbuckettoken。一旦容器云沒有實施全面有效的安全防護，黑客可利用漏洞攻擊容器云上的服務，或可進一步利用容器云漏洞，直接訪問容器云上的敏感信息，獲取服務器特權，對容器云進行修改并最終完全控制服務器，造成惡劣影響和重大損失。所以必須綜合考慮容器云環(huán)境下的Docker、Kubernetes、etcd、Istio等組件的整體安全性，分析研究它們的漏洞特征，進而才能構建一條完整防線。2.4容器云安全風險總結綜上所述，容器云的安全風險亟需解決，應從容器云攻擊路徑和脆弱性，基于縱深防御思想，設計全面、有效的容器云安全防護體系，圍繞容器云各個組件、各個環(huán)節(jié)建立多種、多層防御機制，封堵容器云的攻擊途徑。３容器云安全防護體系設計針對容器云安全風險，對容器云安全能力提出要求，進而依據(jù)安全要求設計具有針對性的容器云安全防護體系是解決容器云安全風險的有效措施。3.1容器云安全能力要求為應對容器云安全風險，容器平臺應具備以下能力要求：3.1.1容器主機安全能力要求主機操作系統(tǒng)應遵循最小化安裝原則；應定期進行漏洞掃描，及時安裝補丁程序；主機操作系統(tǒng)的敏感數(shù)據(jù)應加密存儲；應具備入侵檢測、主機安全認證、主機權限管控的能力；應支持國產化軟硬件平臺。3.1.2容器鏡像安全能力要求應具備容器鏡像加密保護和防篡改的能力；應具備策略管理功能對鏡像進行安全管理的能力。3.1.3容器管理器安全能力要求應具備安全組件服務分布式部署和安全策略管理統(tǒng)一配置管理能力；應具備云內資源可管、可控、可視的能力；應具備容器組件、鏡像、實例可信的能力；應具備云資源的監(jiān)控并對關鍵指標進行告警的能力。3.1.4容器網(wǎng)絡安全能力要求應具備容器全鏈路數(shù)據(jù)加密傳輸及網(wǎng)絡通信安全的能力；應具備防火墻級別數(shù)據(jù)包過濾和狀態(tài)監(jiān)測的能力；應具備容器間網(wǎng)絡隔離、流量控制、訪問控制的能力；應具備全容器間可視化網(wǎng)絡監(jiān)控的能力。3.1.5容器存儲安全能力要求應具備保證數(shù)據(jù)完整性、機密性、可用性的能力；應具備保證容器存儲數(shù)據(jù)高可用的能力；應具備根據(jù)密級不同進行針對性保護的能力。3.1.6容器編排安全能力要求應具備資源按需分配、彈性伸縮合法性檢測的能力；應具備良好的災難備份與應急響應能力。3.1.7容器倉庫安全能力要求應具備對開發(fā)者所供鏡像具有審核機制的能力；應具備對容器倉庫所有鏡像驗證其可信的能力；應具備容器鏡像加密存儲的能力。3.1.8容器平臺管控能力要求應具備容器云資源統(tǒng)一身份認證能力；應具備對虛擬資產安全管理的的能力；應具備身份認證及管理分權的能力；應具備操作審計能力。3.1.9容器云風險感知和處置能力要求應具備容器云安全監(jiān)管、安全態(tài)勢監(jiān)測、安全風險預警的能力。3.2容器云安全防護體系總體設計思想容器云安全防護體系基于縱深防御思想，借鑒自適應安全模型、可信計算安全框架、零信任安全模型、隱私計算安全模型，融合多種安全防御手段和機制，從認證鑒權、運行環(huán)境、安全執(zhí)行多個維度構建可信空間，建立“預測-檢測-防御-響應”的安全閉環(huán)和主動防御能力。3.3容器云安全防護體系架構設計容器云安全防護與傳統(tǒng)安全防護主要的區(qū)別在于防護邊界消失和虛擬資源的動態(tài)捷變。容器云安全防護體系有內置式、插拔式和外掛式安全防護三個維度，如圖5所示。圖5容器云安全防護體系架構設計內置式安全防護將安全機制融入容器云平臺各個組件中，與容器云融為一體，不可繞過；插拔式安全防護將安全能力以插件方式對容器云部分組件進行替換，建立安全防護能力；外掛式安全防護通過松耦合的方式對容器云進行安全防護。容器云安全防護體系基于這三個安全防護維度，由內而外全面防御，設計7類容器安全防護系統(tǒng)，包括：內在安全容器平臺、容器平臺安全運行服務保障系統(tǒng)、容器平臺服務安全治理系統(tǒng)、容器平臺統(tǒng)一安全審計系統(tǒng)、容器平臺統(tǒng)一安全信任系統(tǒng)、容器平臺統(tǒng)一安全管控系統(tǒng)、容器平臺統(tǒng)一監(jiān)測預警系統(tǒng)。內在安全容器平臺基于密碼基礎設施和信任基礎設施，建立計算和安全并行運行的雙體系，提供高安全的容器服務運行支撐環(huán)境；容器平臺安全運行服務保障系統(tǒng)基于IntelSGX、AMDSEV、ARMTrustZone等硬件輔助安全能力構建可信執(zhí)行環(huán)境，保護云服務和數(shù)據(jù)服務；容器平臺服務安全治理系統(tǒng)基于服務網(wǎng)格技術，融合密碼保護、身份認證和訪問控制，構建微服務間端到端安全防護能力；容器平臺統(tǒng)一安全審計系統(tǒng)對容器云人員、操作、行為進行全方位安全審計；容器平臺統(tǒng)一安全信任系統(tǒng)基于物理硬件身份為容器云中的人員、節(jié)點、容器等對象提供可信保障；容器平臺統(tǒng)一安全管控系統(tǒng)站在第三方角度對容器云資產、資源狀態(tài)、合規(guī)性等進行安全監(jiān)管；容器平臺統(tǒng)一監(jiān)測預警系統(tǒng)通過數(shù)據(jù)采集，感知容器云安全態(tài)勢，預測容器云安全趨勢，對容器云安全事件和風險進行預警。４結語

容器云技術正蓬勃發(fā)展，趨于成熟，信息系統(tǒng)軟件設計模型趨向于微服務架構和容器化部署，越來越多的信息系統(tǒng)發(fā)布