容器云安全挑戰(zhàn)和攻防應(yīng)對(duì)

引言由于容器在隔離和安全性方面存在的天然缺陷，隨著安全攻防的演練和安全意識(shí)的提升，容器的弱安全性和分布式復(fù)雜性成為容器企業(yè)級(jí)應(yīng)用的阻礙，容器云采用面臨著安全挑戰(zhàn)。如何使企業(yè)在云原生時(shí)代具備容器安全防護(hù)能力是推進(jìn)容器云企業(yè)級(jí)應(yīng)用的一個(gè)重要方面。一、容器云安全特點(diǎn)云原生環(huán)境下和傳統(tǒng)以安全域劃分實(shí)現(xiàn)安全管控的方法有所不同。網(wǎng)絡(luò)安全域劃分限制了云原生的彈性和擴(kuò)展性能力。云原生消除了這種硬網(wǎng)絡(luò)邊界，通過軟件來定義邊界和網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全能力、身份認(rèn)證和權(quán)限管控提出了更高的要求。容器云作為云原生應(yīng)用的部署運(yùn)維平臺(tái)，居于云原生技術(shù)架構(gòu)的中心。容器的彈性、生命周期短、輕量和數(shù)量眾多、故障自愈（異常重啟遷移）等也使容器安全具備動(dòng)態(tài)、敏捷迭代、更大攻擊面、難以跟蹤等特點(diǎn)。1.動(dòng)態(tài)難跟蹤采用容器最核心的是用其按需彈性伸縮的能力，所以也使容器云環(huán)境持續(xù)在動(dòng)態(tài)變化中。容器云環(huán)境中容器可能不斷地被創(chuàng)建和銷毀、自我復(fù)制、從一臺(tái)節(jié)點(diǎn)遷移到另外一臺(tái)節(jié)點(diǎn)等。這和傳統(tǒng)服務(wù)器上部署一個(gè)或幾個(gè)固定的應(yīng)用或組件是不一樣的，管理方式也面臨著挑戰(zhàn)，安全的防護(hù)意識(shí)和手段也需要變革。動(dòng)態(tài)變化的容器安全除了通過安全左移盡可能消除安全漏洞外，也需要將傳統(tǒng)通過防火墻、黑白名單等靜態(tài)安全防護(hù)方式轉(zhuǎn)變?yōu)槎喾N手段的實(shí)時(shí)檢測(cè)和防護(hù)。2.敏捷迭代輕量的容器適合承載微服務(wù)化應(yīng)用，以支持應(yīng)用快速變更、敏捷迭代、彈性可擴(kuò)展性等需求。采用DevOps化的應(yīng)用發(fā)布非常頻繁，可能是傳統(tǒng)應(yīng)用發(fā)布方式的幾倍、幾十倍甚至幾百倍等。容器安全漏洞往往通過快速發(fā)布一個(gè)修復(fù)了漏洞的新的版本來替換，而不是為容器安裝補(bǔ)丁。提升了業(yè)務(wù)服務(wù)的迭代速度。3.更大的攻擊面云原生架構(gòu)體系涉及的技術(shù)和組件眾多，容器云平臺(tái)自身也擁有眾多的開源組件，這勢(shì)必會(huì)帶來很多潛在的風(fēng)險(xiǎn)，比如操作系統(tǒng)內(nèi)核漏洞、操作系統(tǒng)組件漏洞、log4j漏洞、JacksonJson漏洞、k8s漏洞、SpringCloud漏洞等。另外，很多企業(yè)的鏡像都是來自于互聯(lián)網(wǎng)，這些鏡像往往本身就存在很多漏洞，有的甚至被注入木馬；微服務(wù)化使鏡像和容器的數(shù)量成倍的增加，也就使暴露的漏洞數(shù)量成倍增加；容器云大二層網(wǎng)絡(luò)模式更暴露了大量的業(yè)務(wù)IP，帶來了更大的攻擊面。4.更多風(fēng)險(xiǎn)來源由于鏡像來源于不同的地方，特別是很多企業(yè)供應(yīng)商眾多，開發(fā)人員數(shù)量龐大，很多基礎(chǔ)鏡像來源不明，可能存在很多風(fēng)險(xiǎn)，鏡像掃描雖然可以消除大部分漏洞，但一些經(jīng)過處理隱藏的文件可能難以被探測(cè)到。另外由于容器云平臺(tái)存在更大的攻擊面，其潛在風(fēng)險(xiǎn)就可能數(shù)倍增加。容器云安全特點(diǎn)也使容器云平臺(tái)的建設(shè)和運(yùn)營面臨著安全防護(hù)意識(shí)和安全防護(hù)方式的挑戰(zhàn)。二、容器云安全挑戰(zhàn)1.安全防護(hù)意識(shí)挑戰(zhàn)相對(duì)于傳統(tǒng)網(wǎng)絡(luò)分域安全管控，云原生的大一統(tǒng)網(wǎng)絡(luò)模式模糊了安全邊界概念。如果要實(shí)現(xiàn)容器云平臺(tái)的彈性伸縮、自由擴(kuò)展能力，在網(wǎng)絡(luò)層和資源層就不能有那么多限制，網(wǎng)絡(luò)邊界不能劃分的太細(xì)。當(dāng)前由于攻防演練等要求，企業(yè)內(nèi)部物理網(wǎng)絡(luò)安全域有劃分的越來越小的趨勢(shì)，導(dǎo)致很多公司在不同的安全域安裝容器云集群，也使集群數(shù)量倍增，但每個(gè)集群都不大，資源有限，做不到合理彈性；另外需要在眾多的防火墻上配置端口訪問權(quán)限，使容器云管理變的復(fù)雜化，使業(yè)務(wù)訪問效率和交互性能下降。筆者分享過容器云安全意識(shí)所面臨的挑戰(zhàn)，需要認(rèn)識(shí)到傳統(tǒng)網(wǎng)絡(luò)安全和云原生安全的不同，盡可能減少風(fēng)險(xiǎn)接觸面；同時(shí)需要認(rèn)識(shí)到架構(gòu)發(fā)展的趨勢(shì)，以融合架構(gòu)逐步引領(lǐng)單體豎井架構(gòu)轉(zhuǎn)型，實(shí)現(xiàn)企業(yè)級(jí)復(fù)用；通過安全等基礎(chǔ)設(shè)施自服務(wù)化來賦能研發(fā)和業(yè)務(wù)團(tuán)隊(duì)，促進(jìn)企業(yè)DevOps組織團(tuán)隊(duì)的建設(shè)和優(yōu)化，從而協(xié)調(diào)生產(chǎn)關(guān)系適應(yīng)生產(chǎn)力的發(fā)展。只有想不到，沒有做不到。安全意識(shí)的提升和變革是最難的。特別這么多年固有的思維方式，以及變革可能帶來的不穩(wěn)定和風(fēng)險(xiǎn)，都會(huì)阻礙新方式和方法的采用。2.安全防護(hù)方式挑戰(zhàn)容器云安全防護(hù)方式也不同于傳統(tǒng)網(wǎng)絡(luò)安全的被動(dòng)防御，需要從被動(dòng)轉(zhuǎn)換為主動(dòng)防護(hù)，從靜態(tài)檢測(cè)轉(zhuǎn)變?yōu)榻换ナ綑z測(cè)。容器在帶來彈性可擴(kuò)展性等便利的同時(shí)，也封裝了內(nèi)部邏輯，對(duì)很多人來說是一個(gè)“黑盒”，如果僅采用傳統(tǒng)的鏡像文件靜態(tài)掃描，很難發(fā)現(xiàn)容器運(yùn)行時(shí)的危險(xiǎn)操作。容器云主動(dòng)的防護(hù)方式，首先可以利用安全左移思想，將安全隱患盡可能消除在開發(fā)階段。但安全左移不是說不重視容器運(yùn)行時(shí)環(huán)境，運(yùn)行時(shí)的安全措施一點(diǎn)也不能少。安全左移重要的一點(diǎn)是提升研發(fā)的安全意識(shí)，減少引入不必要的漏洞。其次，安全能力可以作為一種基礎(chǔ)設(shè)施，提供安全自服務(wù)能力，賦能應(yīng)用研發(fā)和運(yùn)維團(tuán)隊(duì)，降低安全應(yīng)用門檻。比如說，容器pod運(yùn)行時(shí)危險(xiǎn)命令執(zhí)行、敏感目錄掛載、異常流量或異常訪問等可以通過權(quán)限管控直接讓應(yīng)用研發(fā)和應(yīng)用運(yùn)維人員可見，這樣也可以快速定位問題。面對(duì)云原生環(huán)境下和傳統(tǒng)網(wǎng)絡(luò)環(huán)境下并存的容器云環(huán)境安全挑戰(zhàn)，不少的企業(yè)和組織也提供了很多的方案、很多的安全框架及安全模型。在安全攻防應(yīng)對(duì)上，當(dāng)前Att&CK框架比較受關(guān)注。三、ATT&CK框架ATT&CK框架由美國研究機(jī)構(gòu)MITRE在2013年提出的，它將已知攻擊者的行為匯總為戰(zhàn)術(shù)和技術(shù)的結(jié)構(gòu)化列表，相對(duì)全面的呈現(xiàn)了攻擊者在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)所采取的行為和技術(shù)，對(duì)于企業(yè)進(jìn)行安全攻防建設(shè)具有非常重要的參考價(jià)值。（讀者有興趣可以搜索“ATT&CK”以獲取更多更深入的內(nèi)容。）ATT&CK也對(duì)比了眾多的報(bào)告，列出了攻擊者最常用的攻擊手段，另外RedCanary也基于客戶環(huán)境發(fā)生的惡意事件的分析提出了供給者常用的攻擊手段，結(jié)合兩項(xiàng)分析結(jié)果，可以看到常用的攻擊技術(shù)有PowerShell、腳本執(zhí)行、命令行界面、注冊(cè)表RunKeys/啟動(dòng)文件夾、偽裝、混淆文件或信息、憑據(jù)轉(zhuǎn)儲(chǔ)等。我們?cè)诮ㄔO(shè)容器云平臺(tái)的時(shí)候，就要求禁用命令行操作，不提供終端工具，所有的操作通過平臺(tái)界面完成，這樣可以有效的進(jìn)行操作審計(jì)，規(guī)避誤操作等問題。四、容器云安全攻防應(yīng)對(duì)ATT&CK框架有數(shù)百種攻擊技術(shù)，并且可能隨著技術(shù)應(yīng)用和發(fā)展而不斷開發(fā)出新的技術(shù)，作為容器云安全攻守的守方，該如何應(yīng)對(duì)？知己知彼，是安全應(yīng)對(duì)的第一步。1.知己知彼容器云安全攻防應(yīng)對(duì)中，知己首先要對(duì)容器云上的相關(guān)資產(chǎn)進(jìn)行梳理。容器云平臺(tái)自身可能實(shí)現(xiàn)了部分能力，但往往并沒有全面梳理資產(chǎn)，很多資產(chǎn)不可見。比如說每個(gè)容器創(chuàng)建了多少進(jìn)程，如果看不到，就無從監(jiān)控和應(yīng)對(duì)。容器云平臺(tái)安全首先要對(duì)容器相關(guān)的資產(chǎn)從不同的視角進(jìn)行梳理，做到可見、可管理。知彼是要對(duì)攻擊者的手段有所了解。ATT&CK的戰(zhàn)術(shù)和技術(shù)框架給我們了一個(gè)非常好的參考。通過ATT&CK框架可以了解到哪種戰(zhàn)術(shù)有哪些技術(shù)手段，從而根據(jù)自己的資產(chǎn)和技術(shù)能力選擇合適的架構(gòu)和方案。2.選擇合適的架構(gòu)和方案筆者在規(guī)劃容器云安全架構(gòu)時(shí)，定義了縱向分層、橫向分段的安全網(wǎng)格方案（可參考：《基于容器特點(diǎn)和傳統(tǒng)網(wǎng)絡(luò)安全能力進(jìn)行容器云安全規(guī)劃設(shè)計(jì)》），對(duì)容器云平臺(tái)不同點(diǎn)的安全問題更有針對(duì)性地采取合適的安全措施。其實(shí)這和ATT&CK的戰(zhàn)術(shù)和技術(shù)框架有點(diǎn)類似。安全涉及方方面面，既需要整體的規(guī)劃實(shí)現(xiàn)協(xié)作關(guān)聯(lián)、也需要每一個(gè)點(diǎn)實(shí)實(shí)在在的防護(hù)措施。比如說，鏡像漏洞問題，既需要在開發(fā)階段選擇安全的基礎(chǔ)鏡像和構(gòu)建安全合規(guī)的服務(wù)鏡像，通過安全掃描，滿足合規(guī)要求才能上傳鏡像庫。但如果不按要求繞過流程直接上傳鏡像到鏡像庫，甚至直接上傳鏡像到容器節(jié)點(diǎn)，可能會(huì)帶來一些風(fēng)險(xiǎn)。因此在不同的點(diǎn)位都需要安全檢查：代碼安全檢查、流水線鏡像安全檢查、鏡像倉庫鏡像檢查、節(jié)點(diǎn)鏡像檢查、容器運(yùn)行時(shí)鏡像檢查等。容器云安全分層中，可以把業(yè)務(wù)服務(wù)、租戶用戶的訪問控制和k8s層的認(rèn)證授權(quán)關(guān)聯(lián)起來，明確層次之間映射的關(guān)系。很多人不在k8s層創(chuàng)建ServiceAccount，直接用Apiserver的admin賬號(hào)，這會(huì)存在隱患。有Apiserver的admin權(quán)限，就可以查看集群內(nèi)所有的資產(chǎn)和資源，也就失去了通過命名空間進(jìn)行隔離的意義，所有的服務(wù)都可能被泄露。3.選擇合適的應(yīng)對(duì)技術(shù)通過安全網(wǎng)格劃分，可以有針對(duì)性地選擇合適技術(shù)，提升安全能力，增強(qiáng)檢測(cè)和應(yīng)對(duì)能力。容器云平臺(tái)有眾多的開源組件和服務(wù)，攻擊面龐大，比如說網(wǎng)絡(luò)、主機(jī)節(jié)點(diǎn)、存儲(chǔ)，容器運(yùn)行時(shí)，鏡像，編排及組件安全，應(yīng)用、數(shù)據(jù)等。針對(duì)ATT&CK框架每項(xiàng)攻擊技術(shù)MITRE也提供了應(yīng)對(duì)方法Shield防御技術(shù)，比如說”進(jìn)程發(fā)現(xiàn)“，可以通過隱藏主動(dòng)防御進(jìn)程和進(jìn)程誘餌來吸引攻擊者，獲得攻擊者信息以便進(jìn)一步采取措施。4.持續(xù)演練、總結(jié)和改進(jìn)攻擊的手段層出不窮，只有熟悉攻擊的手段和方法，持續(xù)的監(jiān)控和響應(yīng)，才能構(gòu)建堅(jiān)實(shí)的防御。有條件的情況下可以嘗試不斷進(jìn)行攻防演練，總結(jié)不足，持續(xù)的改進(jìn)完全弱點(diǎn)，才能不斷地增強(qiáng)安全能力。