Linux容器安全探索

栏目: 编程工具 · 发布时间: 5年前

内容简介:Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做

0x01、业务需求

Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。

在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的 docker 镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。

入侵场景:

我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多的安全保护措施。

Linux容器安全探索

攻击流程如下:

1、攻击者使用RCE漏洞在容器中执行反弹shell。(例如:shellshock CVE-2014-6271)

2、攻击使用容器相关漏洞提权,穿越到运行容器的 linux 服务器上,横向攻击整个linux集群

3、攻击维持对整个服务器访问权限。

0x02、检测防御方案探讨

一、基础数据收集

我们想要的是如何提升我们对docker中发现的问题的态势感知能力。首先要做一定的数据采集工作。通过这些基础的数据,我们才能聚合分析出安全风告警,进而完成我们对容器的安全期望指标。

假设你的docker部署到公有云环境当中,我们需要监控的日志:

1、API活动监控

2、VPC Flow监控/HTTP日志

3、系统日志监控

然后把数据统一存放在elastic search 中查看或者关联分析。前两项一般公有云都会提供,第三项需要用户自己提供,由于workload在云主机上。所以我们需要对linux审计软件做一下性能影响跟踪。系统监控选取: draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。

Linux容器安全探索

根据一下性能指标对比,我们发现轻量级的容器系统监控,没有内核模块的要求。100%使用 go 语言编程(没有C go集成)更容易完成我们的需求。

提升感知能力:需要从两方面入手,网络流量的可视化,docker内发生的安全事件可视化。

1、网络层面需要收集以下信息:

Linux容器安全探索

2、镜像和主机层面需要收集以下信息:

Linux容器安全探索

3、服务器端需要进一步排查分析。确定的安全事件,联动阻断网络通讯。

0x03、总结

为了更好的提升容器安全的感知能力,需要linux容器安全解决方案提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等多维度的安全面的安全防护。当然,还是建议各位看官使用云原生的安全解决方案。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

HTTP Developer's Handbook

HTTP Developer's Handbook

Chris Shiflett / Sams Publishing / 2003-3-29 / USD 39.99

The largest group with an unsatisfied demand for a good book on HTTP is the worldwide group of Web developers. A good book on HTTP can help new and old Web developers alike, as a thorough understandin......一起来看看 《HTTP Developer's Handbook》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具