常见的容器安全威胁有哪些? 常见的网络安全威胁有哪些
\u4f20\u7edf\u7684\u5b89\u5168\u5a01\u80c1\u5305\u62ec\u54ea\u4e9b\u5185\u5bb9\u4f20\u7edf\u5b89\u5168\u5a01\u80c1\u4e3b\u8981\u662f\u6307\u6307\u4e00\u4e9b\u4f20\u7edf\u610f\u4e49\u4e0a\u7684\u9ad8\u653f\u6cbb\u5b89\u5168\u95ee\u9898\uff0c\u662f\u56fd\u5bb6\u9762\u4e34\u7684\u519b\u4e8b\u5a01\u80c1\u53ca\u5a01\u80c1\u56fd\u9645\u5b89\u5168\u7684\u519b\u4e8b\u56e0\u7d20\u3002
\u4f20\u7edf\u5b89\u5168\u5a01\u80c1\u6309\u7167\u5a01\u80c1\u7a0b\u5ea6\u7684\u5927\u5c0f\uff0c\u53ef\u4ee5\u5212\u5206\u4e3a\u519b\u5907\u7ade\u8d5b\u3001\u519b\u4e8b\u5a01\u6151\u548c\u6218\u4e89\u4e09\u7c7b\u3002\u6218\u4e89\u53c8\u6709\u4e16\u754c\u5927\u6218\u3001\u5168\u9762\u6218\u4e89\u4e0e\u5c40\u90e8\u6218\u4e89\uff0c\u56fd\u9645\u6218\u4e89\u4e0e\u56fd\u5185\u6218\u4e89\uff0c\u5e38\u89c4\u6218\u4e89\u4e0e\u6838\u6218\u4e89\uff0c\u7b49\u7b49\uff1b\u6309\u7167\u6240\u5a01\u80c1\u7684\u5bf9\u8c61\uff0c\u53ef\u4ee5\u5212\u5206\u4e3a\u56fd\u9632\u95ee\u9898\u3001\u9886\u571f\u7ea0\u7eb7\u3001\u4e3b\u6743\u95ee\u9898\u3001\u56fd\u5bb6\u4e4b\u95f4\u7684\u519b\u4e8b\u6001\u52bf\u95ee\u9898\u7b49
\u7269\u8054\u7f51\u4e16\u754c\u4e03\u5927\u7f51\u7edc\u5b89\u5168\u5a01\u80c1
以Docker 容器的安全问题为例
(1) Docker 自身安全
Docker 作为一款容器引擎,本身也会存在一些安全漏洞,CVE 目前已经记录了多项与 Docker 相关的安全漏洞,主要有权限提升、信息泄露等几类安全问题。
(2) 镜像安全
由于Docker 容器是基于镜像创建并启动,因此镜像的安全直接影响到容器的安全。具体影响镜像安全的总结如下。
镜像软件存在安全漏洞:由于容器需要安装基础的软件包,如果软件包存在漏洞,则可能会被不法分子利用并且侵入容器,影响其他容器或主机安全。
仓库漏洞:无论是Docker 官方的镜像仓库还是我们私有的镜像仓库,都有可能被攻击,然后篡改镜像,当我们使用镜像时,就可能成为攻击者的目标对象。
用户程序漏洞:用户自己构建的软件包可能存在漏洞或者被植入恶意脚本,这样会导致运行时提权影响其他容器或主机安全。
(3) Linux 内核隔离性不够
尽管目前Namespace 已经提供了非常多的资源隔离类型,但是仍有部分关键内容没有被完全隔离,其中包括一些系统的关键性目录(如 /sys、/proc 等),这些关键性的目录可能会泄露主机上一些关键性的信息,让攻击者利用这些信息对整个主机甚至云计算中心发起攻击。
而且仅仅依靠Namespace 的隔离是远远不够的,因为一旦内核的 Namespace 被突破,使用者就有可能直接提权获取到主机的超级权限,从而影响主机安全。
(4) 所有容器共享主机内核
由于同一宿主机上所有容器共享主机内核,所以攻击者可以利用一些特殊手段导致内核崩溃,进而导致主机宕机影响主机上其他服务。
既然容器有这么多安全上的问题,那么我们应该如何做才能够既享受到容器的便利性同时也可以保障容器安全呢?下面我带你来逐步了解下如何解决容器的安全问题。
如何解决容器的安全问题?
(1) Docker 自身安全性改进
事实上,Docker 从 2013 年诞生到现在,在安全性上面已经做了非常多的努力。目前 Docker 在默认配置和默认行为下是足够安全的。
Docker 自身是基于 Linux 的多种 Namespace 实现的,其中有一个很重要的 Namespace 叫作 User Namespace,User Namespace 主要是用来做容器内用户和主机的用户隔离的。在过去容器里的 root 用户就是主机上的 root 用户,如果容器受到攻击,或者容器本身含有恶意程序,在容器内就可以直接获取到主机 root 权限。Docker 从 1.10 版本开始,使用 User Namespace 做用户隔离,实现了容器中的 root 用户映射到主机上的非 root 用户,从而大大减轻了容器被突破的风险。
因此,我们尽可能地使用Docker 最新版本就可以得到更好的安全保障。
(2) 保障镜像安全
为保障镜像安全,我们可以在私有镜像仓库安装镜像安全扫描组件,对上传的镜像进行检查,通过与CVE 数据库对比,一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全,在拉取镜像时,要确保只从受信任的镜像仓库拉取,并且与镜像仓库通信一定要使用 HTTPS 协议。
(3) 加强内核安全和管理
由于仅仅依赖内核的隔离可能会引发安全问题,因此我们对于内核的安全应该更加重视。可以从以下几个方面进行加强。
宿主机及时升级内核漏洞
宿主机内核应该尽量安装最新补丁,因为更新的内核补丁往往有着更好的安全性和稳定性。
使用Capabilities 划分权限
Capabilities 是 Linux 内核的概念,Linux 将系统权限分为了多个 Capabilities,它们都可以单独地开启或关闭,Capabilities 实现了系统更细粒度的访问控制。
容器和虚拟机在权限控制上还是有一些区别的,在虚拟机内我们可以赋予用户所有的权限,例如设置cron 定时任务、操作内核模块、配置网络等权限。而容器则需要针对每一项 Capabilities 更细粒度的去控制权限,例如:
cron 定时任务可以在容器内运行,设置定时任务的权限也仅限于容器内部;
由于容器是共享主机内核的,因此在容器内部一般不允许直接操作主机内核;
容器的网络管理在容器外部,这就意味着一般情况下,我们在容器内部是不需要执行ifconfig、route等命令的 。
由于容器可以按照需求逐项添加Capabilities 权限,因此在大多数情况下,容器并不需要主机的 root 权限,Docker 默认情况下也是不开启额外特权的。
最后,在执行docker run命令启动容器时,如非特殊可控情况,–privileged 参数不允许设置为 true,其他特殊权限可以使用 --cap-add 参数,根据使用场景适当添加相应的权限。
使用安全加固组件
Linux 的 SELinux、AppArmor、GRSecurity 组件都是 Docker 官方推荐的安全加固组件。下面我对这三个组件做简单介绍。
SELinux (Secure Enhanced Linux): 是 Linux 的一个内核安全模块,提供了安全访问的策略机制,通过设置 SELinux 策略可以实现某些进程允许访问某些文件。
AppArmor: 类似于 SELinux,也是一个 Linux 的内核安全模块,普通的访问控制仅能控制到用户的访问权限,而 AppArmor 可以控制到用户程序的访问权限。
GRSecurity: 是一个对内核的安全扩展,可通过智能访问控制,提供内存破坏防御,文件系统增强等多种防御形式。
这三个组件可以限制一个容器对主机的内核或其他资源的访问控制。目前,容器报告的一些安全漏洞中,很多都是通过对内核进行加强访问和隔离来实现的。
资源限制
在生产环境中,建议每个容器都添加相应的资源限制。下面给出一些执行docker run命令启动容器时可以传递的资源限制参数:
1 --cpus 限制 CPU 配额
2 -m, --memory 限制内存配额
3 --pids-limit 限制容器的 PID 个数
例如我想要启动一个1 核 2G 的容器,并且限制在容器内最多只能创建 1000 个 PID,启动命令如下:
1 $ docker run -it --cpus=1 -m=2048m --pids-limit=1000 busybox sh
推荐在生产环境中限制CPU、内存、PID 等资源,这样即便应用程序有漏洞,也不会导致主机的资源完全耗尽,最大限度降低安全风险。
(4) 使用安全容器
容器有着轻便快速启动的优点,虚拟机有着安全隔离的优点,有没有一种技术可以兼顾两者的优点,做到既轻量又安全呢?
答案是有,那就是安全容器。安全容器是相较于普通容器的,安全容器与普通容器的主要区别在于,安全容器中的每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核,并且有虚拟化层的安全隔离。
安全容器目前推荐的技术方案是Kata Containers,Kata Container 并不包含一个完整的操作系统,只有一个精简版的 Guest Kernel 运行着容器本身的应用,并且通过减少不必要的内存,尽量共享可以共享的内存来进一步减少内存的开销。另外,Kata Container 实现了 OCI 规范,可以直接使用 Docker 的镜像启动 Kata 容器,具有开销更小、秒级启动、安全隔离等许多优点。
网络安全威胁
相比传统的云平台,容器云平台在网络方面一般会有比较大的差异,伴随着这些差异的引入,也引入了一些网络方面的安全问题。比如因为网络隔离模型的变化、资源共享方式的变化而出现的新的安全隐患,针对这两点变化我们分别看下他们带来的安全问题。
1. 网络模型
容器云平台中网络隔离大多使用逻辑隔离代替物理隔离。
物理隔离一般不会直接或者间接的连接公共网络,企业采用物理隔离网络一般是为了保护自己的各种各样的硬件设备和通信链路不被攻击,常见的攻击来自自然灾害、人为破坏等,被保护的硬件实体设备常见的有企业的路由器、工作站和其他的各种网络服务器等。从实际情况来看,一般只有使用了内网和公共网进行的物理隔离才能真正保证内部信息网络不被来自外界的攻击影响,比如来自黑客的攻击。
网络的逻辑隔离一般需要借助逻辑隔离设备来实现,从名称即可看出逻辑隔离器是不同网络间的一种中间件,用于连接不同的网络,常见的网络逻辑设备主要有防火墙、网关等。需要注意的是被隔离的网络之间仍然有物理的数据链路进行联通,被联通的两个网络之间不能直接的进行数据交换。
相比逻辑隔离物理隔离的安全性更高,企业网络多采用物理隔离代替逻辑隔离,以此来保证不同级别的组织或者部门的信息安全。容器云平台网络上采用逻辑隔离,来隔离不同的租户或者项目,一定程度上增加了云平台在网络方面的安全隐患。
2. 资源共享
容器云在网络方面的安全问题,除了上面我们讲到的网络逻辑隔离引入的问题,还有资源共享方面的问题。和传统的云平台一样,容器云平台一般也会有多租户的需求(公有云肯定会有多租户的存在,即使是私有云一般也会有多租户的需求,比如不同的子公司、同公司不同的部门一般都会有多个租户的需求)。
相比传统的云平台,容器云的多租户资源共享引入了更多的风险,在容器云中多个租户共享计算资源,很可能会因为隔离措施不当导致不同租户的逻辑网络被意外打通(国内某知名云厂商曾经发生过类似的问题),导致用户的资源被其他的用户意外的访问到,这种情况下用户可能会被其他的用户恶意攻击,导致数据泄露等严重的问题。容器云平台中通常借助网络防火墙/IPS来进行虚拟化,这种方式也是很常用的方式但是进入云平台之后,尤其是在用户众多的公有云场景中,网络防火墙这种虚拟化方式就不会暴露出虚拟化能力不足的问题,这个问题会导致已经建立的静态网络分区与隔离模型不能满足容器云中动态资源的共享需求。
主机安全威胁
容器云平台目前基本以Docker 容器和kubernetes 容器编排(kubernetes为主流,当然也有支持多种编排工具的厂商)。了解Docker 的同学应该都知道Docker 容器是通过命名空间(namespace)的方式将文件系统、进程、各种设备、网络等资源进行了隔离。除了对资源的隔离,Docker容器还对容器具有的权限进行了限制,对CPU、内存等资源的使用也进行了相应的限制。对Docker 容器资源的限制、隔离的目的是为了让容器之间互不影响。
容器与容器所在的宿主机共享内核、文件系统、各种硬件等资源。容器可以部署在物理机上,也可以选择部署在虚拟主机上。
由于Docker 容器与宿主机共享内核、文件系统等资源,Docker 本身的隔离性不如虚拟机主机完善,因此如果Docker 自身出现漏洞,可能会波及问题Docker 容器所在的宿主机,由于Docker 容器所在的宿主机上可能存在当前租户的其他容器,也可能存在其他租户的容器,所以问题最终可能会影响到其他的容器,并可能会破坏容器云平台上的宿主机。
容器安全需要综合使用工具、策略和流程来遏制安全威胁,常见的容器安全威胁有“构建环境安全”、“运行时安全”、“操作系统安全”以及“编排管理安全”,青藤云安全在容器安全领域有较好口碑和较专业技术能力,值得推荐。
容器安全需要综合使用工具、策略和流程来遏制安全威胁,常见的容器安全威胁有“构建环境安全”
绛旓細闀滃儚杞欢瀛樺湪瀹夊叏婕忔礊锛氱敱浜庡鍣ㄩ渶瑕佸畨瑁呭熀纭鐨勮蒋浠跺寘锛屽鏋滆蒋浠跺寘瀛樺湪婕忔礊锛屽垯鍙兘浼氳涓嶆硶鍒嗗瓙鍒╃敤骞朵笖渚靛叆瀹瑰櫒锛屽奖鍝嶅叾浠栧鍣ㄦ垨涓绘満瀹夊叏銆備粨搴撴紡娲烇細鏃犺鏄疍ocker 瀹樻柟鐨勯暅鍍忎粨搴撹繕鏄垜浠鏈夌殑闀滃儚浠撳簱锛岄兘鏈夊彲鑳借鏀诲嚮锛岀劧鍚庣鏀归暅鍍忥紝褰撴垜浠娇鐢ㄩ暅鍍忔椂锛屽氨鍙兘鎴愪负鏀诲嚮鑰呯殑鐩爣瀵硅薄銆傜敤鎴风▼搴忔紡娲烇細鐢ㄦ埛鑷繁...
绛旓細1銆佷笉瀹夊叏鐨勯暅鍍忥細闀滃儚鏄竴涓寘鍚簲鐢/鏈嶅姟杩愯鎵蹇呴渶鐨勬搷浣滅郴缁熷拰搴旂敤鏂囦欢鐨勯泦鍚锛岀敤浜庡垱寤轰竴涓垨澶氫釜瀹瑰櫒锛屽畠浠箣闂寸揣瀵嗚仈绯伙紝闀滃儚鐨勫畨鍏ㄦу皢浼氬奖鍝嶅鍣ㄥ畨鍏ㄣ傛牴鎹暅鍍忓垱寤哄拰浣跨敤鏂瑰紡锛岄氬父鏈変笁涓洜绱犲奖鍝嶉暅鍍忓畨鍏細a銆佸熀纭闀滃儚涓嶅畨鍏細闀滃儚閫氬父鏄紑鍙戣呭熀浜庢煇涓熀纭闀滃儚鍒涘缓鐨勶紝鏃犺鏄敾鍑昏呬笂浼犵殑鎭舵剰闀...
绛旓細鍘嬪姏瀹瑰櫒鍦ㄤ娇鐢ㄨ繃绋嬩腑锛岀敱浜庡唴閮ㄤ粙璐ㄧ殑鍘嬪姏浣滅敤锛屼細浜х敓搴斿姏锛杩欎簺搴斿姏鍙兘浼氬鑷村鍣ㄧ殑鐤插姵鎹熶激銆佺牬瑁傘佺垎鐐哥瓑浜嬫晠锛屽浜轰滑鐨勭敓鍛借储浜у畨鍏ㄩ犳垚濞佽儊銆傚鍣ㄥ唴鐨勫帇鍔涗骇鐢熺殑搴斿姏鏄奖鍝嶅鍣ㄥ畨鍏ㄧ殑涓绉嶉噸瑕佸洜绱犮傚帇鍔涘鍣ㄥ唴閮ㄧ殑鍘嬪姏搴斿姏鏄敱浜庡唴閮ㄤ粙璐ㄥ帇鍔涗綔鐢ㄥ湪瀹瑰櫒澹佷笂鑰屼骇鐢熺殑銆傚綋瀹瑰櫒鍐呯殑鍘嬪姏瓒呰繃瀹瑰櫒鐨勬姉鍘嬪己搴︽椂...
绛旓細瀵逛粠浜嬭繖涓鏂归潰鐨勫伐浣滀汉鍛樺氨浼氭瀯鎴愭瀬澶х殑濞佽儊锛鍦ㄥ帇鍔涘鍣ㄤ娇鐢ㄤ腑浜х敓鐢电杈愬皠鐜拌薄锛屼篃浼氬紩璧风垎鐐革紝鍗辨満鍒颁汉浠殑鐢熷懡涓庤储浜у畨鍏銆傚叾娆℃槸婕忕數闂锛屼笉浠呭奖鍝嶅帇鍔涘鍣ㄧ殑姝e父浣跨敤锛岃屼笖涔熶細瀵艰嚧瀹夊叏浜嬫晠鐨勪骇鐢燂紝杩欎袱鏂归潰鐨勯棶棰橀渶瑕侀噸鐐瑰叧娉ㄣ備互涓婂唴瀹瑰弬鑰冿細鐧惧害鐧剧-閿呯倝鍘嬪姏瀹瑰櫒 ...
绛旓細1)宸ヤ綔鍘嬪姏銆佷粙璐ㄦ俯搴︽垨鑰呭娓╄秴杩囪瀹氬硷紝閲囧彇鎺柦浠嶄笉鑳藉緱鍒版湁鏁堟帶鍒锛2)涓昏鍙楀帇鍏冧欢鍙戠敓瑁傜紳銆侀紦鍖呫佸彉褰佹硠闇层佽‖閲屽眰澶辨晥绛夊嵄鍙婂畨鍏ㄧ殑鐜拌薄锛3)瀹夊叏闄勪欢澶辩伒銆佹崯鍧忕瓑涓嶈兘璧峰埌瀹夊叏淇濇姢鐨勬儏鍐碉紱4)鎺ョ銆佺揣鍥轰欢鎹熷潖锛岄毦浠ヤ繚璇佸畨鍏ㄨ繍琛锛5)鍙戠敓鐏伨绛夌洿鎺ュ▉鑳佸埌鍘嬪姏瀹瑰櫒瀹夊叏杩愯锛6)杩囬噺鍏呰锛7)娑蹭綅...
绛旓細6.瀹瑰櫒涓庡鍣ㄧ紪鎺掑鏋滀綘浣跨敤瀹瑰櫒鍦ㄨ〃闈笂寮鍙戝簲鐢ㄧ▼搴忔垨灏嗙幇鏈夌殑鍗曟簮(鍗曠墖)搴旂敤绋嬪簭甯﹀叆瀹瑰櫒鍖栫殑鐢熸佺郴缁,鍒欏繀椤荤悊瑙e鍣ㄧ幆澧冧細甯︽潵濂囨殑瀹夊叏濞佽儊銆備粠绗竴澶╁紑濮,浣犲氨搴旇鍑嗗濂藉簲瀵硅繖浜涘▉鑳併傚紑濮嬫瀯寤鸿嚜宸辩殑瀹瑰櫒,璇ュ鍣ㄥ皢鍦ㄧ敓浜ц涓氫腑瀹夎鍜岃繍琛屻備互涓嬫槸鏈甯歌鐨勫鍣ㄥ畨鍏椋庨櫓:鐗规潈鏍囧織:鍗充娇鏄偅浜涘瀹瑰櫒鏈夋繁鍏ヤ簡瑙g殑...
绛旓細锛1锛夊帇鍔涘鍣ㄥ伐浣滃帇鍔涖佷粙璐ㄦ俯搴︽垨澹佹俯瓒呰繃璁哥敤鍊硷紝閲囧彇鎺柦浠嶄笉鑳藉緱鍒版湁鏁堟帶鍒讹紱锛2锛夊帇鍔涘鍣ㄧ殑涓昏鍙楀帇鍏冧欢鍙戠敓瑁傜紳銆侀紦鍖呫佸彉褰佹硠婕忕瓑鍗卞強瀹夊叏鐨勭己闄凤紱锛3锛夊畨鍏ㄩ檮浠跺け鏁堬紱锛4锛夋帴绠°佺揣鍥轰欢鎹熷潖锛岄毦浠ヤ繚璇佸畨鍏ㄨ繍琛岋紱锛5锛夊彂鐢熺伀鐏剧洿鎺濞佽儊鍒板帇鍔瀹瑰櫒瀹夊叏杩愯锛涳紙6锛夎繃閲忓厖瑁咃紱锛7锛夊帇鍔涘鍣ㄦ恫浣嶅け...
绛旓細瀹瑰櫒瀹夊叏鐨勯槻鎶鍖呮嫭锛1銆佽蒋浠跺畨鍏ㄣ傚ぇ閲忕殑寮婧愮粍浠跺拰杞欢锛屽浣曚繚璇佹墍鏈夌殑杞欢閮芥槸瀹夊叏鐨勶紱2銆佺綉缁滈槻鐏銆傚鍣ㄧ殑妯悜鎵╃缉瀹瑰拰閲嶅惎鍚庣殑 IP 鍜屽涓绘満婕傜Щ锛岀綉缁滈槻鐏鏄惁鏈夋晥锛3銆侀暅鍍忔紡娲炪備綔涓哄鍣ㄧ殑鏍稿績缁勪欢銆佸鍣ㄩ暅鍍忓瓨鍦ㄧ殑澶ч噺婕忔礊鍜濞佽儊锛屽浣曡繘琛屾壂鎻忓拰淇锛4銆佹紡娲炰慨澶嶃侱ocker 鎶鏈拰 Kubernetes ...
绛旓細鍘熷洜锛氳繚鍙嶆搷浣滆绋嬶紝寮曠噧鏄撶噧鐗╁搧锛岃繘鑰屽鑷寸垎鐐革紱璁惧鑰佸寲锛屽瓨鍦ㄦ晠闅滄垨缂洪櫡锛岄犳垚鏄撶噧鏄撶垎鐗╁搧娉勬紡锛岄亣鐏姳鑰 寮曡捣鐖嗙偢銆傝繖绫讳簨鏁呭鍙戠敓鍦ㄦ湁鏄撶噧鏄撶垎鐗╁搧鍜屽帇鍔瀹瑰櫒鐨勫疄楠屽銆3.鐢熺墿瀹夊叏浜嬫晠 鍘熷洜锛氬井鐢熺墿瀹為獙瀹ょ鐞嗕笂鐨勭枏婕忓拰鎰忓浜嬫晠涓嶄粎鍙互瀵艰嚧瀹為獙瀹ゅ伐浣滀汉鍛樼殑鎰熸煋锛屼篃鍙犳垚鐜姹℃煋鍜屽ぇ闈㈢Н浜虹兢鎰熸煋...
绛旓細鍥涖瀹瑰櫒鏃犳硶姝e父寮鍚垨鍏抽棴 鑷鍘嬫恫姘綈鍦ㄤ娇鐢ㄨ繃绋嬩腑锛屾湁鏃朵細鍑虹幇鏃犳硶姝e父寮鍚垨鍏抽棴鐨勬儏鍐碉紝杩欏彲鑳戒細瀵逛娇鐢ㄨ鐨勫畨鍏鍜屾恫姘殑鍌ㄥ瓨閫犳垚濞佽儊銆傚鍣ㄦ棤娉曟甯稿紑鍚垨鍏抽棴鍙兘鏄敱浜庨榾闂ㄦ晠闅溿佹満姊版晠闅滄垨鑰呬汉涓烘搷浣滃け璇瓑鍘熷洜閫犳垚鐨勩傝繖鏃堕渶瑕佷粩缁嗘鏌ラ榾闂ㄧ殑鏈烘閮ㄥ垎鍜岃繛鎺ュ鏄惁姝e父锛屾槸鍚﹀瓨鍦ㄦ満姊版晠闅滄垨浜轰负鎿嶄綔澶辫...
