容器云安全風(fēng)險(xiǎn)分析及防護(hù)體系設(shè)計(jì)

０引言容器技術(shù)發(fā)展歷史長(zhǎng)達(dá)20年，經(jīng)歷了從Unixchroot、FreeBSDJails、LinuxVServer、SolarisContainers、OpenVZ、ProcessContainers、LXC、Warden、LMCTFY、Docker、Rocket、WindowsContainers的發(fā)展過(guò)程，逐漸開(kāi)始成熟。隨著云計(jì)算技術(shù)的發(fā)展，容器云技術(shù)的使用也越來(lái)越廣泛，越來(lái)越多的企業(yè)機(jī)構(gòu)開(kāi)始采用容器作為新的IT基礎(chǔ)設(shè)施。容器技術(shù)逐步發(fā)展成以Kubernetes容器管理調(diào)度框架和Docker容器管理器為核心的容器云技術(shù)生態(tài)。圖1容器云技術(shù)生態(tài)開(kāi)源容器云技術(shù)生態(tài)主要圍繞Kubernetes，構(gòu)建容器管理、容器編排調(diào)度、容器網(wǎng)絡(luò)管理、容器存儲(chǔ)管理、容器鏡像管理等能力。Kubernetes提供了標(biāo)準(zhǔn)的接口，主要包括容器運(yùn)行時(shí)接口CRI、容器網(wǎng)絡(luò)接口CNI、容器存儲(chǔ)接口CSI，以及API接口，其他開(kāi)源組件按照對(duì)應(yīng)接口與Kubernetes對(duì)接；同時(shí)，Kubernetes形成了可擴(kuò)展的開(kāi)發(fā)框架，可以基于該框架開(kāi)發(fā)自定義的功能和接口。１容器云安全現(xiàn)狀概述1.1容器云安全標(biāo)準(zhǔn)規(guī)范1.1.1國(guó)外標(biāo)準(zhǔn)規(guī)范美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology,NIST）發(fā)布了《NIST.SP.800—190應(yīng)用容器安全指南》。該指南總結(jié)概括了容器使用過(guò)程中存在的安全問(wèn)題，并對(duì)這些問(wèn)題提供了針對(duì)性的對(duì)策和建議。容器安全問(wèn)題主要包括：①容器鏡像風(fēng)險(xiǎn)：可能存在安全漏洞、鏡像配置缺陷、惡意軟件植入、未信任鏡像及明文存儲(chǔ)的風(fēng)險(xiǎn)；②容器鏡像倉(cāng)庫(kù)風(fēng)險(xiǎn)：包括與鏡像倉(cāng)庫(kù)的連接不安全、鏡像倉(cāng)庫(kù)中的鏡像過(guò)時(shí)和不完備的認(rèn)證機(jī)制；③容器編排工具風(fēng)險(xiǎn)：包括管理訪問(wèn)權(quán)限不受限制、未經(jīng)授權(quán)的訪問(wèn)、容器間網(wǎng)絡(luò)流量隔離效果差、混合不同敏感級(jí)別的工作負(fù)載、編排節(jié)點(diǎn)的可信問(wèn)題；⑤容器實(shí)例風(fēng)險(xiǎn)：包括運(yùn)行時(shí)軟件中的漏洞、容器的網(wǎng)絡(luò)訪問(wèn)不受限制、容器運(yùn)行時(shí)配置不安全、流氓容器；⑥容器主機(jī)操作系統(tǒng)風(fēng)險(xiǎn)：包括攻擊面大、共享內(nèi)核、主機(jī)操作系統(tǒng)組件漏洞、用戶訪問(wèn)權(quán)限不當(dāng)、篡改主機(jī)操作系統(tǒng)文件的文件系統(tǒng)。為了應(yīng)對(duì)上述風(fēng)險(xiǎn)，《NIST.SP.800-190應(yīng)用容器安全指南》中提出容器的安全防護(hù)應(yīng)該覆蓋整個(gè)容器的生命周期，即容器的構(gòu)建、分發(fā)和運(yùn)行三個(gè)階段，才能確保持續(xù)的安全性。因此：①需要確保容器構(gòu)建的安全；②需要確保容器鏡像分發(fā)的安全；③需要確保容器運(yùn)行的安全。由此可見(jiàn)，《NIST.SP.800—190應(yīng)用容器安全指南》主要針對(duì)容器技術(shù)本身，沒(méi)有綜合考慮容器云環(huán)境系統(tǒng)性、體系化的安全防護(hù)能力要求。1.1.2國(guó)內(nèi)標(biāo)準(zhǔn)規(guī)范目前，國(guó)內(nèi)容器云安全仍處于研究和探索階段，一些研究機(jī)構(gòu)、云廠商和安全廠商，提出容器安全白皮書(shū)，主要圍繞容器脆弱性、安全威脅闡述了容器云的安全風(fēng)險(xiǎn)，并從容器服務(wù)、主機(jī)、鏡像、網(wǎng)絡(luò)、運(yùn)行、編排多個(gè)方面提出安全防護(hù)思路和方法。個(gè)別安全廠商推出了容器安全解決方案，從容器安全風(fēng)險(xiǎn)出發(fā)，圍繞容器構(gòu)建、分發(fā)、運(yùn)行對(duì)容器進(jìn)行安全防護(hù)，沒(méi)有體系化考慮容器云安全防護(hù)體系架構(gòu)。1.2容器云安全應(yīng)用實(shí)踐1.2.1DoD企業(yè)級(jí)DevSecOpsDoD企業(yè)級(jí)DevSecOps將云廠商、安全廠商和應(yīng)用廠商聯(lián)合起來(lái)，圍繞應(yīng)用系統(tǒng)設(shè)計(jì)、編碼、編譯、打包、發(fā)布、部署、測(cè)試、上線、運(yùn)營(yíng)等從開(kāi)發(fā)到運(yùn)維，提供全生命周期的安全防護(hù)。DoD企業(yè)級(jí)DevSecOps充分利用開(kāi)源和業(yè)界的成熟產(chǎn)品，比如紅帽的企業(yè)級(jí)容器平臺(tái)OpenShift。1.2.2綠盟容器安全解決方案綠盟星云實(shí)驗(yàn)室提出的容器安全解決方案，支持容器鏡像和倉(cāng)庫(kù)的漏洞掃描，異常行為檢測(cè)，訪問(wèn)控制等功能，實(shí)現(xiàn)了從容器鏡像構(gòu)建到運(yùn)行的防護(hù)。1.2.3安全狗云甲容器自適應(yīng)安全管理系統(tǒng)安全狗云甲容器自適應(yīng)安全管理系統(tǒng)，采用機(jī)器學(xué)習(xí)、智能檢測(cè)等新技術(shù)對(duì)容器生命周期進(jìn)行自適應(yīng)安全防護(hù)和統(tǒng)一管理，滿足用戶對(duì)容器相關(guān)資產(chǎn)的可視化管理、安全事件分析、合規(guī)檢測(cè)等容器安全管理需求。1.2.4青藤蜂巢容器安全產(chǎn)品青藤蜂巢容器安全產(chǎn)品，采用Agent-Server技術(shù)架構(gòu)，針對(duì)漏洞、不安全配置、入侵攻擊，結(jié)合安全策略，提供覆蓋容器生命周期的、持續(xù)性安全防護(hù)。1.2.5華為容器安全服務(wù)華為容器安全服務(wù)，能夠掃描鏡像中的漏洞與配置信息，幫助用戶解決傳統(tǒng)安全軟件無(wú)法感知的容器環(huán)境問(wèn)題，同時(shí)提供容器進(jìn)程白名單、文件只讀保護(hù)和容器逃逸檢測(cè)功能，能有效防止容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)事件的發(fā)生?？偟膩?lái)看，當(dāng)前容器云安全防護(hù)系統(tǒng)都僅圍繞局部的容器安全風(fēng)險(xiǎn)進(jìn)行安全防護(hù)，沒(méi)有針對(duì)容器云安全風(fēng)險(xiǎn)進(jìn)行全面分析和綜合防護(hù)。２容器云安全風(fēng)險(xiǎn)分析現(xiàn)有容器云的安全配置規(guī)范應(yīng)用情況不理想，在生產(chǎn)環(huán)境中未落實(shí)，全球有大量的容器云和容器實(shí)例暴露于互聯(lián)網(wǎng)，攻擊者可利用容器云脆弱性發(fā)起攻擊，一旦攻陷，將會(huì)對(duì)生產(chǎn)環(huán)境產(chǎn)生巨大的安全威脅。因此，需要針對(duì)典型容器云平臺(tái)環(huán)境，進(jìn)行全面、系統(tǒng)性的安全風(fēng)險(xiǎn)分析，進(jìn)而體系性設(shè)計(jì)容器云安全防護(hù)體系。2.1容器云攻擊路徑分析典型容器云部署模式、形態(tài)、角色多樣化，主要部署模式分為：①裸金屬部署；②私有云部署；③公有云部署；主要部署形態(tài)為直接部署于裸金屬服務(wù)器和云主機(jī)（虛擬機(jī)）；主要部署角色有管理節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)、存儲(chǔ)節(jié)點(diǎn)。因此，典型容器云的攻擊路徑如圖2所示。圖2容器云攻擊路徑分析通常，針對(duì)容器云的攻擊主要是由外部惡意用戶和內(nèi)部惡意管理員從網(wǎng)絡(luò)側(cè)發(fā)起攻擊，攻擊對(duì)象主要包括：①容器化微服務(wù)網(wǎng)絡(luò)攻擊：潛在攻擊者通過(guò)高級(jí)可持續(xù)攻擊（AdvancedPersistentThreat，APT）等方式攻擊容器中的應(yīng)用程序，并利用應(yīng)用程序漏洞或者容器權(quán)限，執(zhí)行服務(wù)破壞、惡意操作、數(shù)據(jù)竊取或進(jìn)行橫向擴(kuò)展。②容器云組件漏洞攻擊：潛在攻擊者獲取容器權(quán)限后，通過(guò)容器與容器編排組件的脆弱性，越權(quán)逃逸，進(jìn)入云服務(wù)提供商所使用的虛擬機(jī)實(shí)例或宿主機(jī)操作系統(tǒng)，隨后進(jìn)一步攻擊虛擬機(jī)監(jiān)視器進(jìn)而控制云平臺(tái)底層資源并進(jìn)行橫向擴(kuò)展。③容器鏡像倉(cāng)庫(kù)攻擊：潛在攻擊者通過(guò)攻擊容器鏡像倉(cāng)庫(kù)，可以篡改容器鏡像，在容器鏡像中植入惡意代碼，用戶使用帶有惡意代碼的容器并運(yùn)行后，攻擊者利用惡意代碼執(zhí)行惡意操作。④界面、API接口缺陷：已獲取容器云權(quán)限的攻擊者和惡意管理員通過(guò)容器云提供的控制臺(tái)或開(kāi)放式API，利用控制臺(tái)應(yīng)用漏洞或API漏洞訪問(wèn)，對(duì)容器云平臺(tái)業(yè)務(wù)、運(yùn)維和管理連接的內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊，進(jìn)而隨意橫向擴(kuò)展攻擊其他容器和組件。⑤硬件管理接口缺陷：潛在攻擊者通過(guò)裸金屬服務(wù)開(kāi)放的管理接口存在的漏洞和缺陷，控制服務(wù)器底層硬件，并進(jìn)一步利用管理網(wǎng)絡(luò)橫向擴(kuò)展，作為跳板攻擊云管理、服務(wù)器管理、網(wǎng)絡(luò)管理和存儲(chǔ)管理，癱瘓整個(gè)容器云基礎(chǔ)設(shè)施。2.2容器云安全漏洞分析2.2.1容器云安全漏洞統(tǒng)計(jì)截至2020年10月，容器云各關(guān)鍵組件漏洞統(tǒng)計(jì)分型情況如圖5所示，其中Docker相關(guān)的漏洞共81個(gè)，在漏洞數(shù)量上并沒(méi)有明顯減少的趨勢(shì)，一旦黑客突破Docker，如容器逃逸，將會(huì)對(duì)主機(jī)造成巨大威脅；Kubernetes的安全對(duì)整個(gè)項(xiàng)目的安全生產(chǎn)運(yùn)行是一個(gè)重要保障，Kubernetes相關(guān)的漏洞共65個(gè)，主要的漏洞類(lèi)型包括：敏感數(shù)據(jù)泄露、拒絕服務(wù)、弱校驗(yàn)、非法提權(quán)等；etcd有輕量級(jí)、簡(jiǎn)單、高效等優(yōu)勢(shì)，但其安全性也同樣值得關(guān)注，etcd相關(guān)的漏洞共7個(gè)；Istio是連接、加固、控制和觀察微服務(wù)的開(kāi)放平臺(tái)，具備負(fù)載均衡、服務(wù)到服務(wù)的認(rèn)證、監(jiān)控等功能，解決微服務(wù)治理中的諸多難題，相關(guān)的漏洞共9個(gè)。容器各關(guān)鍵組件高危漏洞分型統(tǒng)計(jì)情況如圖3所示。圖3容器關(guān)鍵組件高危漏洞分型統(tǒng)計(jì)除容器云組件漏洞頻發(fā)外，容器鏡像安全形勢(shì)也十分嚴(yán)峻，在用戶的生產(chǎn)環(huán)境中，有40%的鏡像來(lái)源于公開(kāi)的鏡像倉(cāng)庫(kù)，鏡像的漏洞問(wèn)題依然十分突出，對(duì)生產(chǎn)環(huán)境中的鏡像漏洞掃描通過(guò)率僅為48%。2.2.2容器云安全漏洞趨勢(shì)圖4容器關(guān)鍵組件歷年漏洞數(shù)量走勢(shì)近年來(lái)，隨著容器云廣泛應(yīng)用，容器云安全漏洞頻繁被發(fā)現(xiàn)，呈逐年上升趨勢(shì)（統(tǒng)計(jì)趨勢(shì)如圖4所示），漏洞影響越來(lái)越嚴(yán)重。如果沒(méi)有及時(shí)、有效的防范，攻擊者利用這些漏洞，可輕易對(duì)容器云基礎(chǔ)設(shè)施造成致命攻擊。2.3容器云安全事件分析2017年1月，IBM將私鑰泄露到了公有主機(jī)環(huán)境上，這會(huì)將訪問(wèn)托管容器底層主機(jī)的root訪問(wèn)權(quán)授予普通云服務(wù)用戶，使底層云平臺(tái)的信息安全面臨巨大威脅。2019年4月，DockerHub遭受非法入侵，已導(dǎo)致19萬(wàn)個(gè)賬號(hào)的敏感數(shù)據(jù)被泄露，這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼，以及用于自動(dòng)構(gòu)建Docker鏡像而授權(quán)給DockerHub的GitHub和Bitbuckettoken。一旦容器云沒(méi)有實(shí)施全面有效的安全防護(hù)，黑客可利用漏洞攻擊容器云上的服務(wù)，或可進(jìn)一步利用容器云漏洞，直接訪問(wèn)容器云上的敏感信息，獲取服務(wù)器特權(quán)，對(duì)容器云進(jìn)行修改并最終完全控制服務(wù)器，造成惡劣影響和重大損失。所以必須綜合考慮容器云環(huán)境下的Docker、Kubernetes、etcd、Istio等組件的整體安全性，分析研究它們的漏洞特征，進(jìn)而才能構(gòu)建一條完整防線。2.4容器云安全風(fēng)險(xiǎn)總結(jié)綜上所述，容器云的安全風(fēng)險(xiǎn)亟需解決，應(yīng)從容器云攻擊路徑和脆弱性，基于縱深防御思想，設(shè)計(jì)全面、有效的容器云安全防護(hù)體系，圍繞容器云各個(gè)組件、各個(gè)環(huán)節(jié)建立多種、多層防御機(jī)制，封堵容器云的攻擊途徑。３容器云安全防護(hù)體系設(shè)計(jì)針對(duì)容器云安全風(fēng)險(xiǎn)，對(duì)容器云安全能力提出要求，進(jìn)而依據(jù)安全要求設(shè)計(jì)具有針對(duì)性的容器云安全防護(hù)體系是解決容器云安全風(fēng)險(xiǎn)的有效措施。3.1容器云安全能力要求為應(yīng)對(duì)容器云安全風(fēng)險(xiǎn)，容器平臺(tái)應(yīng)具備以下能力要求：3.1.1容器主機(jī)安全能力要求主機(jī)操作系統(tǒng)應(yīng)遵循最小化安裝原則；應(yīng)定期進(jìn)行漏洞掃描，及時(shí)安裝補(bǔ)丁程序；主機(jī)操作系統(tǒng)的敏感數(shù)據(jù)應(yīng)加密存儲(chǔ)；應(yīng)具備入侵檢測(cè)、主機(jī)安全認(rèn)證、主機(jī)權(quán)限管控的能力；應(yīng)支持國(guó)產(chǎn)化軟硬件平臺(tái)。3.1.2容器鏡像安全能力要求應(yīng)具備容器鏡像加密保護(hù)和防篡改的能力；應(yīng)具備策略管理功能對(duì)鏡像進(jìn)行安全管理的能力。3.1.3容器管理器安全能力要求應(yīng)具備安全組件服務(wù)分布式部署和安全策略管理統(tǒng)一配置管理能力；應(yīng)具備云內(nèi)資源可管、可控、可視的能力；應(yīng)具備容器組件、鏡像、實(shí)例可信的能力；應(yīng)具備云資源的監(jiān)控并對(duì)關(guān)鍵指標(biāo)進(jìn)行告警的能力。3.1.4容器網(wǎng)絡(luò)安全能力要求應(yīng)具備容器全鏈路數(shù)據(jù)加密傳輸及網(wǎng)絡(luò)通信安全的能力；應(yīng)具備防火墻級(jí)別數(shù)據(jù)包過(guò)濾和狀態(tài)監(jiān)測(cè)的能力；應(yīng)具備容器間網(wǎng)絡(luò)隔離、流量控制、訪問(wèn)控制的能力；應(yīng)具備全容器間可視化網(wǎng)絡(luò)監(jiān)控的能力。3.1.5容器存儲(chǔ)安全能力要求應(yīng)具備保證數(shù)據(jù)完整性、機(jī)密性、可用性的能力；應(yīng)具備保證容器存儲(chǔ)數(shù)據(jù)高可用的能力；應(yīng)具備根據(jù)密級(jí)不同進(jìn)行針對(duì)性保護(hù)的能力。3.1.6容器編排安全能力要求應(yīng)具備資源按需分配、彈性伸縮合法性檢測(cè)的能力；應(yīng)具備良好的災(zāi)難備份與應(yīng)急響應(yīng)能力。3.1.7容器倉(cāng)庫(kù)安全能力要求應(yīng)具備對(duì)開(kāi)發(fā)者所供鏡像具有審核機(jī)制的能力；應(yīng)具備對(duì)容器倉(cāng)庫(kù)所有鏡像驗(yàn)證其可信的能力；應(yīng)具備容器鏡像加密存儲(chǔ)的能力。3.1.8容器平臺(tái)管控能力要求應(yīng)具備容器云資源統(tǒng)一身份認(rèn)證能力；應(yīng)具備對(duì)虛擬資產(chǎn)安全管理的的能力；應(yīng)具備身份認(rèn)證及管理分權(quán)的能力；應(yīng)具備操作審計(jì)能力。3.1.9容器云風(fēng)險(xiǎn)感知和處置能力要求應(yīng)具備容器云安全監(jiān)管、安全態(tài)勢(shì)監(jiān)測(cè)、安全風(fēng)險(xiǎn)預(yù)警的能力。3.2容器云安全防護(hù)體系總體設(shè)計(jì)思想容器云安全防護(hù)體系基于縱深防御思想，借鑒自適應(yīng)安全模型、可信計(jì)算安全框架、零信任安全模型、隱私計(jì)算安全模型，融合多種安全防御手段和機(jī)制，從認(rèn)證鑒權(quán)、運(yùn)行環(huán)境、安全執(zhí)行多個(gè)維度構(gòu)建可信空間，建立“預(yù)測(cè)-檢測(cè)-防御-響應(yīng)”的安全閉環(huán)和主動(dòng)防御能力。3.3容器云安全防護(hù)體系架構(gòu)設(shè)計(jì)容器云安全防護(hù)與傳統(tǒng)安全防護(hù)主要的區(qū)別在于防護(hù)邊界消失和虛擬資源的動(dòng)態(tài)捷變。容器云安全防護(hù)體系有內(nèi)置式、插拔式和外掛式安全防護(hù)三個(gè)維度，如圖5所示。圖5容器云安全防護(hù)體系架構(gòu)設(shè)計(jì)內(nèi)置式安全防護(hù)將安全機(jī)制融入容器云平臺(tái)各個(gè)組件中，與容器云融為一體，不可繞過(guò)；插拔式安全防護(hù)將安全能力以插件方式對(duì)容器云部分組件進(jìn)行替換，建立安全防護(hù)能力；外掛式安全防護(hù)通過(guò)松耦合的方式對(duì)容器云進(jìn)行安全防護(hù)。容器云安全防護(hù)體系基于這三個(gè)安全防護(hù)維度，由內(nèi)而外全面防御，設(shè)計(jì)7類(lèi)容器安全防護(hù)系統(tǒng)，包括：內(nèi)在安全容器平臺(tái)、容器平臺(tái)安全運(yùn)行服務(wù)保障系統(tǒng)、容器平臺(tái)服務(wù)安全治理系統(tǒng)、容器平臺(tái)統(tǒng)一安全審計(jì)系統(tǒng)、容器平臺(tái)統(tǒng)一安全信任系統(tǒng)、容器平臺(tái)統(tǒng)一安全管控系統(tǒng)、容器平臺(tái)統(tǒng)一監(jiān)測(cè)預(yù)警系統(tǒng)。內(nèi)在安全容器平臺(tái)基于密碼基礎(chǔ)設(shè)施和信任基礎(chǔ)設(shè)施，建立計(jì)算和安全并行運(yùn)行的雙體系，提供高安全的容器服務(wù)運(yùn)行支撐環(huán)境；容器平臺(tái)安全運(yùn)行服務(wù)保障系統(tǒng)基于IntelSGX、AMDSEV、ARMTrustZone等硬件輔助安全能力構(gòu)建可信執(zhí)行環(huán)境，保護(hù)云服務(wù)和數(shù)據(jù)服務(wù)；容器平臺(tái)服務(wù)安全治理系統(tǒng)基于服務(wù)網(wǎng)格技術(shù)，融合密碼保護(hù)、身份認(rèn)證和訪問(wèn)控制，構(gòu)建微服務(wù)間端到端安全防護(hù)能力；容器平臺(tái)統(tǒng)一安全審計(jì)系統(tǒng)對(duì)容器云人員、操作、行為進(jìn)行全方位安全審計(jì)；容器平臺(tái)統(tǒng)一安全信任系統(tǒng)基于物理硬件身份為容器云中的人員、節(jié)點(diǎn)、容器等對(duì)象提供可信保障；容器平臺(tái)統(tǒng)一安全管控系統(tǒng)站在第三方角度對(duì)容器云資產(chǎn)、資源狀態(tài)、合規(guī)性等進(jìn)行安全監(jiān)管；容器平臺(tái)統(tǒng)一監(jiān)測(cè)預(yù)警系統(tǒng)通過(guò)數(shù)據(jù)采集，感知容器云安全態(tài)勢(shì)，預(yù)測(cè)容器云安全趨勢(shì)，對(duì)容器云安全事件和風(fēng)險(xiǎn)進(jìn)行預(yù)警。４結(jié)語(yǔ)

容器云技術(shù)正蓬勃發(fā)展，趨于成熟，信息系統(tǒng)軟件設(shè)計(jì)模型趨向于微服務(wù)架構(gòu)和容器化部署，越來(lái)越多的信息系統(tǒng)發(fā)布