实战化场景下的容器安全攻防之道

Posted 2022-11-23 小道安全

更多可以关注：青藤云安全和小道安全

在这个数字化转型关键时期，以容器为代表的云原生技术凭借自身的优势，正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权，而是成为了市场主流选择，容器、容器云逐渐成为工作负载的主流形态。

与此相随，云原生大量的新技术，也带来了众多未知的风险敞口，安全防护对象也发生了颠覆性变化，容器正在逐渐成为黑客新的演练场。

容器成为重要的攻击目标

在容器时代，安全面临新旧威胁的双重挑战。一方面，那些传统旧的攻击手段依然有效，包括漏洞利用、暴力破解、权限提升等等。另一方面，新的攻击姿势也是层出不穷，例如投毒镜像、容器逃逸、集群API调用等等，让人防不胜防。

在过去的攻防演练中，就曾发现多起针对容器、集群攻击事件。容器带来新的风险暴露面，给了攻击者众多可乘之机。

为什么容器会成为黑客重点攻击目标？笔者认为核心原因有以下6个方面：

容器的安全建设滞后

容器虽然可以实现更加灵活、更加低成本的软件开发和应用部署，但是对应的容器安全建设却远远滞后于业务发展速度，大量“裸奔”的容器成为了攻击者眼中“香饽饽”。

容器的攻击价值高

在容器集群中，只要攻陷一个容器，就可以横向移动到其它容器上，或者逃逸到node节点上进行持久化，控制整个节点。下一步，攻击者还可以通过漏洞利用或者调用API SERVER控制整个集群。而集群作为集权类系统，一旦失陷，防守方“血条”减少一大截就不可避免了。

容器的攻击面庞大

除了应用本身的脆弱性引入的攻击外，集群、容器运行时本身的脆弱性问题也不容忽视。例如攻击者通过k8s、docker未授权访问长驱直入；集群权限配置不当，攻击者可创建高权容器进行逃逸；利用Linux内核cgroups模块（CVE-2022-0492）进行逃逸。

容器的漏洞影响范围大

在传统操作模式中，所部署的软件在其运行的主机上更新，而容器则必须在上游的镜像中进行更新，然后重新部署。因此，若镜像或基础镜像存在问题，则将至少影响一个或多个集群。

容器的防护难度高

容器安全防护需要覆盖容器构建、部署、运行整个生命周期，所涉及的环节和流程链路都非常复杂。例如，在构建阶段，可能会遇到的软件供应链攻击，包括基础镜像污染、CI工具攻击、制品库漏洞攻击等。在部署阶段也可能面临针对云原生基础设施平台攻击，包括开源组件编排工具等。在运行时阶段，还可能面临针对云原生应用的攻击，包括SQL注入、漏洞、弱口令等。

容器的攻击溯源难

容器的生命周期短，动态变化快，超过50%容器从上线到下架的整个生命周期不超过1天。如何在检测到异常入侵事件之后，快速进行安全响应，把损失降到最低成为了一大安全难题。

容器缺乏有效的安全手段

在传统的安全防护范畴中，组织的“端点、网络、边界”，各个层级相对清晰，但是在云原生环境下这些边界消失了。

近年来，虽然企业组织的安全建设投入大幅度提升，企业组织都部署了基本的防火墙、漏扫、终端安全等常规的安全设备。

但是当容器面临攻击时，传统安全防护手段，无法有效保护容器安全。例如，在IT架构中，如果包含容器、K8S等新型的云原生基础设施时。举个简单的例子，攻击者可以通过多种方式轻松完成一次攻击。一个个小小的漏洞就有可能打穿容器节点，甚至整个集群。

第一步：通过容器应用攻击容器

攻击者通过weblogic远程代码执行漏洞（CVE-2021-2382），获取了一个容器的控制权。

第二步：通过失陷容器攻击其它容器

获取容器控制权后，可通过nmap等网络探测方式发现可访问的容器端口。

第三步：通过容器攻击宿主机

若docker、containered等存在容器逃逸漏洞，可利用此漏洞获取宿主机的控制权。

第四步：通过容器攻击集群

若K8S存在8080、6443未授权访问，可通过容器访问K8S master api进行恶意调用。

试想，面对这样的攻击，不管是边界防火墙，还是终端的安全产品，都无法完成有效安全防护，也无法隔离容器或杀掉容器内恶意进程，更无法提供行之有效的溯源分析，只能通过下线业务的方式缓解影响，但是这无法从根上解决容器的安全问题。

实战化定制容器安全方案
在这样的背景下，青藤基于多年实战化攻防演练的经验，不断升级迭代方案，正式推出升级版《容器安全实战化解决方案V2.0》

关注【小道安全】进行扫码下载《容器安全实战化解决方案V2.0》

该方案覆盖了几个核心环节，包括攻击风险评估、风险收敛整改、攻击行为监控、攻击事件响应、溯源分析报告共五个环节，可实现容器全生命周期的主动防御效果。