本文來(lái)自微信公眾號(hào)“安全牛”
運(yùn)行在云平臺(tái)上的容器產(chǎn)品,因?yàn)榫邆湟粋€(gè)完整的可移植應(yīng)用程序環(huán)境,能夠幫助用戶輕松地完成對(duì)應(yīng)用程序的開(kāi)關(guān)控制,提升應(yīng)用程序的敏捷性,同時(shí)節(jié)約企業(yè)的IT建設(shè)成本。在巨大優(yōu)勢(shì)作用下,容器產(chǎn)品的采用率在2021年達(dá)到了新高,容器編排引擎工具的使用也不斷攀升。與此同時(shí),容器也面臨更大的安全風(fēng)險(xiǎn)。
常見(jiàn)容器安全風(fēng)險(xiǎn)
據(jù)Red Hat公司調(diào)查數(shù)據(jù)顯示:有94%的受訪者在過(guò)去12個(gè)月內(nèi)遭遇過(guò)Kubernetes安全事件。而Akamai日前也進(jìn)行了一項(xiàng)實(shí)驗(yàn),將一個(gè)簡(jiǎn)單的Docker容器蜜罐用于攻擊測(cè)試,結(jié)果顯示該容器在24小時(shí)內(nèi)被攻擊者用于四起不同的犯罪活動(dòng),這些攻擊的目的各不相同:一起攻擊試圖使用容器作為代理,以訪問(wèn)數(shù)據(jù)流或其他服務(wù),另一起企圖讓目標(biāo)感染僵尸網(wǎng)絡(luò),還有一起執(zhí)行加密貨幣挖掘,最后一起是通過(guò)容器針對(duì)居家辦公用戶實(shí)施詐騙。
研究發(fā)現(xiàn),牟利仍是網(wǎng)絡(luò)犯罪分子攻擊容器的主要?jiǎng)訖C(jī)。不法分子企圖訪問(wèn)隨后可以牟利的資源或數(shù)據(jù)。CPU時(shí)間和帶寬等資源可以出售給其他犯罪分子用于地下服務(wù),甚至直接用于挖掘加密貨幣,這些動(dòng)機(jī)在使用容器的環(huán)境中大量存在。
風(fēng)險(xiǎn)一:錯(cuò)誤配置
影響容器安全的因素有很多,但配置錯(cuò)誤是最常見(jiàn)的原因。Gartner近期的一項(xiàng)分析顯示,到2025年,99%以上云安全事件的根源將是用戶配置錯(cuò)誤或配置不當(dāng)造成的。
容器常常大批量部署在非常動(dòng)態(tài)的環(huán)境中,訪問(wèn)、網(wǎng)絡(luò)及其他設(shè)置一旦出現(xiàn)錯(cuò)誤配置,就會(huì)給網(wǎng)絡(luò)犯罪份子留下可乘之機(jī)。另外,很多公司在配置容器時(shí),通常會(huì)選擇默認(rèn)配置設(shè)置,不能充分利用更精細(xì)化的配置功能,配置錯(cuò)誤或采用安全性遠(yuǎn)不如自定義設(shè)置的默認(rèn)配置方案,都可能造成安全問(wèn)題。配置錯(cuò)誤的問(wèn)題不僅局限于容器本身,容器編排引擎工具的配置錯(cuò)誤也需關(guān)注。
風(fēng)險(xiǎn)二:鏡像感染
除了錯(cuò)誤配置外,被感染的鏡像是容器面臨的另一大風(fēng)險(xiǎn)。鏡像由開(kāi)源存儲(chǔ)庫(kù)提供,是隨帶的可執(zhí)行代碼的預(yù)制靜態(tài)文件,可以在計(jì)算系統(tǒng)上創(chuàng)建容器,方便用戶部署。攻擊者會(huì)通過(guò)植入惡意軟件或?qū)⑼诘V軟件預(yù)先安裝在鏡像中來(lái)破壞容器,用戶在部署了這些鏡像之后,攻擊者就可以通過(guò)惡意軟件來(lái)訪問(wèn)受害者的資源。
這種攻擊事件已經(jīng)發(fā)生了多起。例如,2020年Containerd運(yùn)行過(guò)程中,曝出存在工具漏洞,該工具用于管理主機(jī)系統(tǒng)的整個(gè)容器生命周期。這個(gè)漏洞(CVE-2020-15157)存在于容器鏡像拉取過(guò)程中,攻擊者通過(guò)構(gòu)建專用的容器鏡像成功實(shí)施了攻擊活動(dòng)。
風(fēng)險(xiǎn)三:漏洞攻擊
此外,影響容器安全的另一個(gè)因素是漏洞。2021年研究人員曾發(fā)現(xiàn)了多個(gè)容器漏洞,這些漏洞可以讓攻擊者滲入到公有云的多租戶容器即服務(wù)產(chǎn)品當(dāng)中。雖然云供應(yīng)商投入了大量資金來(lái)保護(hù)云平臺(tái),但未知的零日漏洞層出不窮,容器所面臨的漏洞安全風(fēng)險(xiǎn)始終存在。
容器安全防御的最佳實(shí)踐
鑒于當(dāng)前普遍應(yīng)用的容器環(huán)境,企業(yè)需要具備數(shù)據(jù)分析能力,發(fā)現(xiàn)容器環(huán)境下的異常行為,以下梳理總結(jié)了容器安全防護(hù)中采用的有效實(shí)踐經(jīng)驗(yàn),供大家參考:
•確保集群基礎(chǔ)架構(gòu)的補(bǔ)丁程序能夠及時(shí)更新;
•定期修改容器運(yùn)行參數(shù),避免默認(rèn)配置;
•使用強(qiáng)密碼,并定期進(jìn)行密碼和權(quán)限的變更;
•避免將特權(quán)服務(wù)賬戶的令牌發(fā)送到API服務(wù)器以外的任何方,防止攻擊者偽裝成令牌所有者;
•啟用“BoundServiceAccountTokenVolume”功能,盡量減小令牌被盜的影響;
•部署策略執(zhí)行器以監(jiān)控和防止容器集群內(nèi)的可疑活動(dòng),尤其是查詢SelfSubjectAccessReview或SelfSubjectRulesReview API以獲得許可的服務(wù)賬戶或節(jié)點(diǎn);
•從信譽(yù)良好的來(lái)源拉取容器鏡像,存儲(chǔ)在安全存儲(chǔ)庫(kù)中,用信任證書(shū)加以標(biāo)記和簽名,將過(guò)時(shí)的版本從鏡像存儲(chǔ)庫(kù)移除;
•評(píng)估編排系統(tǒng)的最低權(quán)限配置,確保持續(xù)集成/持續(xù)交付(CI/CD)中的移動(dòng)得到驗(yàn)證、記錄和監(jiān)控;
•全方位了解云應(yīng)用程序環(huán)境以及傳統(tǒng)IT基礎(chǔ)架構(gòu)的風(fēng)險(xiǎn);
•部署數(shù)據(jù)分析工具和可以對(duì)分析結(jié)果做出反應(yīng)的自動(dòng)化操作手冊(cè);
•為安全運(yùn)營(yíng)人員及時(shí)提供容器運(yùn)行數(shù)據(jù),以便他們及時(shí)對(duì)告警信息進(jìn)行處置;
•在容器的出口處部署數(shù)據(jù)泄露防護(hù)措施。
參考鏈接:
https://threatpost.com/container_threats_cloud_defend/179452/