Linux容器安全探索

栏目: 编程工具 · 发布时间: 5年前

内容简介:Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做

0x01、业务需求

Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。

在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的 docker 镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。

入侵场景:

我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多的安全保护措施。

Linux容器安全探索

攻击流程如下:

1、攻击者使用RCE漏洞在容器中执行反弹shell。(例如:shellshock CVE-2014-6271)

2、攻击使用容器相关漏洞提权,穿越到运行容器的 linux 服务器上,横向攻击整个linux集群

3、攻击维持对整个服务器访问权限。

0x02、检测防御方案探讨

一、基础数据收集

我们想要的是如何提升我们对docker中发现的问题的态势感知能力。首先要做一定的数据采集工作。通过这些基础的数据,我们才能聚合分析出安全风告警,进而完成我们对容器的安全期望指标。

假设你的docker部署到公有云环境当中,我们需要监控的日志:

1、API活动监控

2、VPC Flow监控/HTTP日志

3、系统日志监控

然后把数据统一存放在elastic search 中查看或者关联分析。前两项一般公有云都会提供,第三项需要用户自己提供,由于workload在云主机上。所以我们需要对linux审计软件做一下性能影响跟踪。系统监控选取: draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。

Linux容器安全探索

根据一下性能指标对比,我们发现轻量级的容器系统监控,没有内核模块的要求。100%使用 go 语言编程(没有C go集成)更容易完成我们的需求。

提升感知能力:需要从两方面入手,网络流量的可视化,docker内发生的安全事件可视化。

1、网络层面需要收集以下信息:

Linux容器安全探索

2、镜像和主机层面需要收集以下信息:

Linux容器安全探索

3、服务器端需要进一步排查分析。确定的安全事件,联动阻断网络通讯。

0x03、总结

为了更好的提升容器安全的感知能力,需要linux容器安全解决方案提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等多维度的安全面的安全防护。当然,还是建议各位看官使用云原生的安全解决方案。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

国家窃听

国家窃听

真溱 / 中信出版社 / 2015-8 / 48.00元

《国家窃听》以轻松而略带调侃的“冷幽默”风格,讲述了美国情报监视帝国大量不为人知的故事。本书以严谨而专业的视角,将“斯诺登事件”放在21世纪以来美国“全球反恐战争”以及美国情报界几十年发展的大背景下进行考察,揭示出这一事件的内在逻辑和历史必然。作者前期搜集、筛选、整理的一手素材在故事叙述过程中清晰而多层次地呈现,令本书堪称一部非虚构的美国情报界演义。一起来看看 《国家窃听》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具