实战化场景下的容器安全攻防之道

Posted 小道安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实战化场景下的容器安全攻防之道相关的知识,希望对你有一定的参考价值。

更多可以关注:青藤云安全和小道安全

在这个数字化转型关键时期,以容器为代表的云原生技术凭借自身的优势,正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权,而是成为了市场主流选择,容器、容器云逐渐成为工作负载的主流形态。

与此相随,云原生大量的新技术,也带来了众多未知的风险敞口,安全防护对象也发生了颠覆性变化,容器正在逐渐成为黑客新的演练场。

容器成为重要的攻击目标

在容器时代,安全面临新旧威胁的双重挑战。一方面,那些传统旧的攻击手段依然有效,包括漏洞利用、暴力破解、权限提升等等。另一方面,新的攻击姿势也是层出不穷,例如投毒镜像、容器逃逸、集群API调用等等,让人防不胜防。

在过去的攻防演练中,就曾发现多起针对容器、集群攻击事件。容器带来新的风险暴露面,给了攻击者众多可乘之机。

为什么容器会成为黑客重点攻击目标?笔者认为核心原因有以下6个方面:

容器的安全建设滞后

容器虽然可以实现更加灵活、更加低成本的软件开发和应用部署,但是对应的容器安全建设却远远滞后于业务发展速度,大量“裸奔”的容器成为了攻击者眼中“香饽饽”。

容器的攻击价值高

在容器集群中,只要攻陷一个容器,就可以横向移动到其它容器上,或者逃逸到node节点上进行持久化,控制整个节点。下一步,攻击者还可以通过漏洞利用或者调用API SERVER控制整个集群。而集群作为集权类系统,一旦失陷,防守方“血条”减少一大截就不可避免了。

容器的攻击面庞大

除了应用本身的脆弱性引入的攻击外,集群、容器运行时本身的脆弱性问题也不容忽视。例如攻击者通过k8s、docker未授权访问长驱直入;集群权限配置不当,攻击者可创建高权容器进行逃逸;利用Linux内核cgroups模块(CVE-2022-0492)进行逃逸。

容器的漏洞影响范围大

在传统操作模式中,所部署的软件在其运行的主机上更新,而容器则必须在上游的镜像中进行更新,然后重新部署。因此,若镜像或基础镜像存在问题,则将至少影响一个或多个集群。

容器的防护难度高

容器安全防护需要覆盖容器构建、部署、运行整个生命周期,所涉及的环节和流程链路都非常复杂。例如,在构建阶段,可能会遇到的软件供应链攻击,包括基础镜像污染、CI工具攻击、制品库漏洞攻击等。在部署阶段也可能面临针对云原生基础设施平台攻击,包括开源组件编排工具等。在运行时阶段,还可能面临针对云原生应用的攻击,包括SQL注入、漏洞、弱口令等。

容器的攻击溯源难

容器的生命周期短,动态变化快,超过50%容器从上线到下架的整个生命周期不超过1天。如何在检测到异常入侵事件之后,快速进行安全响应,把损失降到最低成为了一大安全难题。

容器缺乏有效的安全手段

在传统的安全防护范畴中,组织的“端点、网络、边界”,各个层级相对清晰,但是在云原生环境下这些边界消失了。

近年来,虽然企业组织的安全建设投入大幅度提升,企业组织都部署了基本的防火墙、漏扫、终端安全等常规的安全设备。

但是当容器面临攻击时,传统安全防护手段,无法有效保护容器安全。例如,在IT架构中,如果包含容器、K8S等新型的云原生基础设施时。举个简单的例子,攻击者可以通过多种方式轻松完成一次攻击。一个个小小的漏洞就有可能打穿容器节点,甚至整个集群。

第一步:通过容器应用攻击容器

攻击者通过weblogic远程代码执行漏洞(CVE-2021-2382),获取了一个容器的控制权。

第二步:通过失陷容器攻击其它容器

获取容器控制权后,可通过nmap等网络探测方式发现可访问的容器端口。

第三步:通过容器攻击宿主机

若docker、containered等存在容器逃逸漏洞,可利用此漏洞获取宿主机的控制权。

第四步:通过容器攻击集群

若K8S存在8080、6443未授权访问,可通过容器访问K8S master api进行恶意调用。

试想,面对这样的攻击,不管是边界防火墙,还是终端的安全产品,都无法完成有效安全防护,也无法隔离容器或杀掉容器内恶意进程,更无法提供行之有效的溯源分析,只能通过下线业务的方式缓解影响,但是这无法从根上解决容器的安全问题。

实战化定制容器安全方案
在这样的背景下,青藤基于多年实战化攻防演练的经验,不断升级迭代方案,正式推出升级版《容器安全实战化解决方案V2.0》

关注【小道安全】进行扫码下载《容器安全实战化解决方案V2.0》

该方案覆盖了几个核心环节,包括攻击风险评估、风险收敛整改、攻击行为监控、攻击事件响应、溯源分析报告共五个环节,可实现容器全生命周期的主动防御效果。

以上是关于实战化场景下的容器安全攻防之道的主要内容,如果未能解决你的问题,请参考以下文章

实战化场景下的容器安全攻防之道

云原生容器场景下的内核安全

蓝队视角下的防御体系怎样进行突破

CSRF攻防之道

领航者洞察 | 云原生下的容器安全

《内网安全攻防:渗透测试实战指南》读书笔记:跨域攻击分析及防御