内容简介:Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做
0x01、业务需求
Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。
在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的 docker 镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。
入侵场景:
我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多的安全保护措施。
攻击流程如下:
1、攻击者使用RCE漏洞在容器中执行反弹shell。(例如:shellshock CVE-2014-6271)
2、攻击使用容器相关漏洞提权,穿越到运行容器的 linux 服务器上,横向攻击整个linux集群
3、攻击维持对整个服务器访问权限。
0x02、检测防御方案探讨
一、基础数据收集
我们想要的是如何提升我们对docker中发现的问题的态势感知能力。首先要做一定的数据采集工作。通过这些基础的数据,我们才能聚合分析出安全风告警,进而完成我们对容器的安全期望指标。
假设你的docker部署到公有云环境当中,我们需要监控的日志:
1、API活动监控
2、VPC Flow监控/HTTP日志
3、系统日志监控
然后把数据统一存放在elastic search 中查看或者关联分析。前两项一般公有云都会提供,第三项需要用户自己提供,由于workload在云主机上。所以我们需要对linux审计软件做一下性能影响跟踪。系统监控选取: draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。
根据一下性能指标对比,我们发现轻量级的容器系统监控,没有内核模块的要求。100%使用 go 语言编程(没有C go集成)更容易完成我们的需求。
提升感知能力:需要从两方面入手,网络流量的可视化,docker内发生的安全事件可视化。
1、网络层面需要收集以下信息:
2、镜像和主机层面需要收集以下信息:
3、服务器端需要进一步排查分析。确定的安全事件,联动阻断网络通讯。
0x03、总结
为了更好的提升容器安全的感知能力,需要linux容器安全解决方案提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等多维度的安全面的安全防护。当然,还是建议各位看官使用云原生的安全解决方案。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- Docker 容器测试全探索
- Vue.js的IoC容器模式探索
- 探索SpringBoot-一起来看看Spring容器加载核心源码(六)
- DockOne微信分享(一九二):360搜索容器云探索与实践
- airflow探索篇
- 探索 React 合成事件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。