信息化觀察網(wǎng)

在上周舉行的美國2020年黑帽在線會議上，來自Palo Alto Networks Unit 42的研究人員披露了他們是如何使惡意代碼從利用輕量級虛擬機隔離工作負(fù)載的Kata Container運行時環(huán)境中逃脫的。

理論上，如果網(wǎng)絡(luò)攻擊從容器中爆發(fā)出來，它仍然應(yīng)該局限于虛擬機。然而，Unit 42的研究人員展示了多種方法來破壞Kata Container運行時和底層主機。一些云服務(wù)提供商依靠Kata Container來隔離容器工作負(fù)載。

Unit 42的高級研究員Yuval Avrahami說，這一漏洞已經(jīng)通過與Kata Container社區(qū)的合作得到了補救。

Avrahami說，Unit 42的研究人員能夠找到多種方法來突破Kata Container，這一事實表明IT團隊不應(yīng)該想當(dāng)然地認(rèn)為那些創(chuàng)建沙盒來隔離容器的平臺足以確保安全性。

作為傳統(tǒng)虛擬機的替代方案，人們對更輕重量的容器安全方法的興趣正在上升。顯然，我們確實需要輕量級虛擬機平臺來隔離組織中的容器，作為傳統(tǒng)虛擬機的替代方案——傳統(tǒng)虛擬機主要用于運行托管單體應(yīng)用程序的訪客操作系統(tǒng)。而容器只需要一個輕量級虛擬機就可以將一個容器工作負(fù)載與另一個容器工作負(fù)載隔離開來。

輕量級虛擬機的整體采用仍處于初級階段。然而，隨著IT團隊探索替代VMware的商業(yè)虛擬機（需要獲得許可）或使用過多基礎(chǔ)設(shè)施的開源虛擬機，有關(guān)如何最好地保護容器的爭論正在加劇。

理論上，使用容器構(gòu)建的應(yīng)用程序更安全，因為它更容易撕毀和替換可能被惡意代碼破壞的容器。問題是，開發(fā)人員可能會從他們認(rèn)為安全的存儲庫中取出已經(jīng)受損的容器。Avrahami說，除非采用額外的安全層來確保惡意軟件不會在IT環(huán)境中橫向移動，否則惡意代碼很有可能會危害容器主機。

Unit 42的研究人員前不久還披露了一個已知的網(wǎng)絡(luò)安全缺陷如何在運行舊版本的Kubernetes時被用來接管整個集群。

與任何新興平臺一樣，容器安全問題也越來越突出。IT環(huán)境中部署的容器數(shù)量正在迅速增加。然而，許多組織仍然不完全了解網(wǎng)絡(luò)安全的含義。

目前還不清楚這些漏洞實際被利用的程度。然而，黑客們已經(jīng)盯上了容器。

原文鏈接：

https://containerjournal.com/topics/container-security/palo-alto-networks-discloses-kata-container-flaws/