九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

云原生时代，怎样“玩转”容器清静？

2021-05-21

1. 小序

随着云盘算的生长，以容器和微服务为代表的云原外行艺，受到了人们的普遍关注，其中Docker和Kubernetes（以下简称“K8S”）是企业容器运行时和容器编排的主要选择。然而，在应用容器和K8S历程中，大大都企业都遇到过差别水平的清静问题，怎样包管容器清静，已成为企业最体贴的问题。

2. 应用容器带来新挑战

容器应用之前，云中应用系统大都运行于虚拟机上，但虚拟机仍会有特另外资源铺张和维护本钱，并且其启动速率较慢。容器手艺因具有占用资源少、安排速率快和便于迁徙等特点，最先受到企业青睐。在典范的云原生情形中，通常包括主机、镜像、容器、容器编排平台、网络和微服务等工具，但由于现在大都企业使用容器手艺安排营业应用，故下面将重点剖析与容器相关的清静挑战。

2.1 容器手艺危害

作为一种操作系统虚拟化手艺，容器共享操作系统内核，但并未实现完全隔离，若虚拟化软件保存误差，或宿主机被攻击，将会造成容器逃逸或资源隔离失效，影响某个容器或多个容器的清静。

容器逃逸：使用虚拟化软件保存的误差，攻击者通过容器获取主机权限，可攻击容器所在主机，甚至是该主机上的其他容器。已往几年内已经发明了多个相关误差，其中CVE-2019-5736是RunC的一个清静误差，它会导致18.09.2版本前的Docker允许恶意容器笼罩宿主机上的RunC二进制文件，使攻击者能够以Root身份在宿主机上执行恣意下令。

资源隔离失效：攻击者只要攻破容器操作系统内核，就可会见到主机上的文件系统，或进入其它容器，导致容器隔离失效。若是把主机的文件系统挂载到多个容器的目录里，容器就可以会见统一个目录，将会引起信息泄露或内容改动等清静问题。

2.2 不清静的镜像

镜像是一个包括应用/服务运行所必需的操作系统和应用文件的荟萃，用于建设一个或多个容器，它们之间细密联系，镜像的清静性将会影响容器清静。凭证镜像建设和使用方法，通常有三个因素影响镜像清静。

现有镜像不清静：镜像通常是开发者基于某个现有镜像建设的，无论是攻击者上传的恶意镜像，照旧现有镜像保存的清静缺陷，基于它建设的镜像都将会是不清静的。

使用包括误差的软件：开发者经�；崾褂萌砑獾拇牖蛉砑�，若是它们保存误差或恶意代码，一旦被制作成镜像，也将会影响容器的清静。

镜像被改动：容器镜像在存储和使用的历程中，可能被改动，如被植入恶意程序和修改内容。一旦使用被恶意改动的镜像建设容器后，将会影响容器和应用程序的清静。

2.3 工具向攻击

网络实现了容器之间、容器与外部之间的通讯，以及应用之间的交互，但在虚拟化的容器网络情形中，其网络清静危害较古板网络更重大、严肃。以Docker情形为例，它支持Bridge、Overlay和Macvlan等网络，只管实现方法差别，但有一个配合和普遍的问题：若是容器之间未举行有用隔离和控制，则一旦攻击者控制某台主机或某台容器，可以以此为跳板，攻击同主机或差别主机上的其他容器，也就是常提到的“工具向攻击”，甚至有可能形成拒绝服务攻击。

2.4 运行情形未加固

作为容器的载体和编排治理软件，主机和容器编排平台等运行情形也是容器清静的主要因素之一。如前所述，主机上的容器并未实现完全隔离，若是主机未举行清静加固，一旦攻击者提倡提权攻击，将会控制主机上其他容器。关于不清静的容器编排平台同样云云，某汽车制造企业就曾深受其害，由于其公有云情形中的K8S Master节点未设置密码�；�，攻击者在偷取会见权限后，使用K8S集群挖掘加密钱币。

3. 容器清静应对行动

从LXC最先，容器就使用了大部分Linux通用的清静手艺，它们组成了容器清静的基础。面临新挑战，无论古板的清静加固，照旧新的镜像组身剖析，镜像、容器手艺、网络和主机等差别层面的清静步伐，都将有助于提升容器清静性。

3.1 Linux内核清静机制

Linux通用的清静手艺包括命名空间（Namespace）、控制组（Cgroups）、系统权限（Capability）、强制会见控制（MAC）系统以及清静盘算（Seccomp）等。一个好的容器平台，应该具备这些能力，下文将聚焦前三种能力。

命名空间（Namespace）：实质上容器是由种种命名空间组成的，它们为容器提供了基础隔离，让每个容器拥有自力的历程ID、网络栈、根目录、内存、用户名和主机名。

图1 容器是命名空间的组合

控制组（Cgroups）：控制组认真实现资源审计和限制，让每个容器公正的分享主机资源，并设置了限制，以免单个容器太过消耗资源，影响到主机系统和其他容器运行，也可以避免拒绝服务攻击。

图2 控制组限制容器可使用的资源

系统权限（Capability）：Root用户拥有所有的权限，以Root身份运行容器很危险；但若是以非Root身份在后台运行容器的话，由于缺少权限会随处受限。系统权限机制可以提供细粒度的权限会见控制，控制容器运行所需的Root用户权限，纵然攻击者取得了Root权限，也不可获得主机的较高权限，可以限制进一步的破损。

图3 系统权限控制容器权限

3.2 清静容器

Linux通用清静手艺为容器提供了基础隔离，但未实现100%隔离。清静容器通过增添特另外隔离层可以进一步增添容器的清静性。它是一种容器运行时手艺，为容器应用提供一个完整的操作系统执行情形（经常是 Linux ABI），将应用的执行与宿主机操作系统隔脱离，阻止应用直接会见主机资源，从而可以在容器主机之间或容器之间提供特另外�；�。

gVisor和Kata Containers是两个代表性的清静容器实现，其中Kata Containers通过使用硬件虚拟化，使用轻量级的虚拟机为容器提供隔离，每一个Container/Pod运行于自力的虚拟机上，他们不再从主机内核上获取响应所有的权限，从而使Kata Containers与VM一样能提供强隔离性。

图4 Kata Containers结构及原理

3.3 镜像清静剖析

作为容器运行的基础，容器镜像的清静在整个容器清静生态中占有着主要位置。容器镜像由若干层镜像叠加而成，通过镜像客栈分发和更新。因此，可以从镜像构建清静、客栈清静以及镜像分发清静三方面实现镜像清静。

镜像构建清静：在构建镜像时，验证所依赖镜像的完整性和泉源，只装置须要的软件包，使用适当的指令，缩小攻击面；并使用加密手艺，�；ず妹苈搿⒘钆啤⒚茉亢陀没衩匦畔⒌�。

镜像客栈清静：镜像客栈分为公共镜像客栈和私有镜像客栈，使用公共镜像客栈的镜像时，使用官方宣布最新版本的镜像，对下载的镜像要经由误差扫描评估，并坚持准时更新。关于私有镜像客栈，一方面坚持客栈自身的清静性，例如在使用时要设置响应的清静证书，另一方面使用镜像历程中，使用用户会见权限控制确保交互历程的清静性。

镜像分发清静：在镜像下载和上传时，使用数字署名和Https来包管容器镜像的完整性和神秘性，抵御中心人攻击等威胁。

3.4 微隔离

网络的基本防护手段是隔离和会见控制，容器网络防护可使用容器情形自身清静机制或第三方微隔离产品。关于K8S网络，其自身清静战略对每个Pod的入口强制执行会见控制，从而能够隔离高危害的微服务，但Pod内容器间通讯和脱离Pod的出口流量无法控制。第三方微隔离产品可是比K8S更详细地纪录收支网络毗连、深入检测网络中威胁和攻击，以及检测数据泄露，实现七层微隔离和网络可视化。

3.5 运行情形加固

使用清静基线对容器主机和K8S举行清静检查和加固，将会进一步增添容器的清静性。CIS宣布的Docker 基线已成为Linux主机设置和Docker主机加固的最佳实践。通过建设一个特权容器，将Docker主机清静设置与CIS 基线举行比照，可以发明清静问题和实验加固。同样，CIS也宣布了K8S 基线，古板的误差扫描工具、自力的容器清静产品(如Aqua Security和NeuVector)和私有维护职员已经在GitHub上宣布了剧本，可实现自动化的K8S清静检查。

4. 容器清静实践

随着DevOps兴起，软件开发职员与运维职员之间细密相助，通过自动化流程来完成软件开发、测试、宣布和维护，整个历程越发快捷、频仍和可靠，缩短了软件上线时间，镌汰了许多重复性和人工事情。现在，针对容器清静危害，已经形成了多种清静控制步伐，怎样将它们融入到DevOps中高效�；びτ孟低�，是容器清静实践需要思量的主要问题。

为此，我们承继DevSecOps理念，提出了容器全生命周期清静�；ぜ苹�，该计划使用容器清静治理系统，通过容器编排手艺将清静容器安排于容器情形中，举行一连的检测和剖析，实现容器情形的资源可视化治理、镜像危害治理、容器运行时清静治理、合规性检测和微服务API危害治理，最终包管容器在构建、安排和运行整个生命周期的清静。

4.1 总体架构

容器清静防护计划接纳�？榛头植闵杓�，通过与容器运行情形举行对接，实时获取容器情形中的镜像和容器等工具的相关信息，使用种种清静能力举行监控和剖析，举行统一的清静治理，最后通过图形化方法为用户展示容器情形的清静态势。

图5 容器清静防护架构

清静治理层：认真清静治理功效，包括容器情形的资产治理、战略治理和清静能力治理等，通过清静能力适配将种种治理信息下发给种种清静能力，以及网络种种清静信息，经集中剖析和处置惩罚后，集中对用户展示容器情形的主机、容器、镜像和网络等工具的清静状态。

清静能力层：认真提供详细清静能力，为容器情形提供清静�；�，清静能力涉及系统清静扫描、镜像文件剖析、恶意文件剖析、入侵检测和微隔离等。

运行情形层：认真提供容器镜像、容器编排治理等功效，以及运行应用程序的容器，并与容器能力层举行交互，配合实现容器清静防护。

4.2 容器全生命周期�；�

凭证容器清静防护架构，本计划将种种清静能力与DevOps流水线相团结，从一连集成/一连安排和运行时举行清静防护，为容器提供构建、安排和运行的全生命周期�；�，最终实现应用系统的清静运行。

图6 容器全生命周期�；�

4.2.1 构建清静

在应用程序构建阶段，通过与CI/CD流水线集成，剖析构建镜像时所使用的下令和设置参数，还原镜像文件构建历程，掌握下令使用的敏感操作，以及剖析镜像文件是否包括密码、令牌、密钥和用户神秘信息等敏感信息。同时，剖析镜像的软件组成，发明镜像文件中包括的恶意文件、病毒和木马，以及所使用的依赖库和组件保存的清静误差，阻止带病交付。

4.2.2 安排清静

剖析镜像无危害后，镜像被提交至镜像客栈。在该阶段，将检查容器情形的镜像客栈设置，确保使用加密方法毗连镜像客栈。通过与K8S联动，当镜像客栈中新增镜像或使用镜像建设容器时，自动化校验镜像署名或MD5值，确保镜像泉源可信且未被改动，一旦发明镜像泉源不可信或被改动，榨取使用该镜像建设容器。

4.2.3 运行清静

当确认镜像清静后，进入到容器运行阶段。在该阶段使用系统清静扫描能力，基于Docker和K8S CIS 基线，对主机和容器编排工具K8S举行合规性检查，检查规模包括主机清静设置、Docker守护历程设置、Docker守护程序设置文件、容器镜像和构建、容器运行清静和Docker清静操作等，确保容器运行情形清静。

同时，使用微隔离对容器举行网络隔离，通过入侵检测能力实时监测容器运行状态，监测工具包括容器内运行历程（如netlink socket、perf event和eBPF）和文件系统，以及主机情形的权限提升和破损容器隔离性等行为。当发明容器运行异常时，使用会见控制机制限制容器进一步的行为和通讯。

结语

陪同着云原生应用生长，企业通过微服务来交付应用系统的比例在增添，容器清静也将不但仅是容器自身和容器情形清静，将延伸到微服务清静和应用清静，企业在应用云原外行艺时，应整体思量容器清静，让清静与云原生相融合，更好的�；びτ孟低�。

<<上一篇

洞见RSA 2021｜零信托的逆境与破局之路

>>下一篇

洞见RSA 2021｜怎样设计清静的控制系统远程会见

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号