公有云容器平安 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

公有云容器平安

申博_安全预警 申博 81次浏览 未收录 0个评论

0x00、媒介

IT手艺在赓续的提高,从虚拟主机手艺涌现后,我们能够方便快捷的在公有云上竖立自身的消费情况,大大提拔消费情况布置效力,记得之前一个做游戏的兄弟说,之前做一款游戏,消费情况布置,从效劳器推销到真正上线最短也要1~2个月。而运用公有云虚拟机搭建或许1~2周就搞定。那末容器手艺的涌现,又进一步提拔了开辟上线的速率,或许你在公有云上搞定以上事变也就1~2天。在方便快捷的同时容器的运用量也在逐年爬升,经观察,公有云大约有40%用户正在运用容器手艺,那末,容器平安你预备好了么?

0x01、深入研究

在最先议论容器平安题目之前,我们先要搞清楚:为啥现有的平安处理方案处理不了docker平安题目?

先从应急相应的角度上剖析,整理了近半年的应急相应事宜:我们发明典范的容器进击线路,进击者一样平常经由过程种种web破绽上传Webshell到容器中,然后提议反向链接,运用DirtyCow(脏牛)等破绽举行提权操纵,取得容器的掌握权限,然后运用runC等对宿主机提权。

(1)Webshell检测:典范的场景,当docker启动Weblogic对外供应效劳,有可能在负载平衡组件上嵌入WAF组件举行阻拦,然则针对变形webshell检测也只要在运转能力真正检测到。很不幸的事,在docker中,我们没有运转任何平安防备手腕。

(2)反弹shell检测:要想辨认反弹shell,就必须对docker运转的历程对外衔接做充足的检测,很不幸,现在的处理方案都是针对宿主机的,固然也能够经由过程布置到网络层的态势感知产物举行要挟谍报外联联系关系,然则针对黑客新搭建基础设施,要挟谍报也无计可施。

(3)当地提权检测:当weblogic用户运转的权限,没法知足黑客入侵的需求的时刻,针对用户提权操纵,我们监控docker用户的权限转变便可,很不幸,现在的处理方案都是针对宿主机的。

从以上案例剖析,我们发明了一个很主要的题目,网络层、宿主机层我们的平安处理方案已很成熟了,docker层内部的平安,基本上处于裸奔状况。

0x02、容器平安处理方案

从容器的全部生命周期来看,镜像构建阶段要对不平安的镜像源、不平安的情况设置装备摆设和存在的破绽举行扫描,容器运转阶段,要搜检容器运转时平安设置装备摆设、Docker 、k8s 运用自身的平安设置装备摆设和宿主机平安。最主要的是在rasp状况下对docker层的历程、网络衔接、账户的监控。

1、docker镜像破绽扫描

我们先看一下docker现在布置架构是怎样演化的。

传统的布置架构:公有云容器平安

公有云容器平安

典范的容器布置架构:公有云容器平安

公有云容器平安

然则在实在布置情况中,我们发明:

公有云容器平安

公有云容器平安据不完全统计:天天大约有15个新增破绽/每一万容器,当新的破绽宣布时我们怎样疾速的检测出来我们运用的docker组件中对应的CVE编号呢?在编纂构建时刻的,我们就须要经由过程静态扫描,静态剖析容器镜像中的组件的破绽。须要产物按期网络破绽数据并将其存储在数据库中,清算容器映像并为装置的软件包体例索引。若是任何破绽与映像中已辨认的软件包婚配,则顺序能够向消费情况发送警报,申报或阻挠布置。

2、合规搜检

跟着Docker的运用量大大增添,更好地相识怎样平安地设置装备摆设和布置Dockerized运用顺序变得越来越主要。互联网平安中间宣布了1.13 Docker Benchmark,它为主题专家供应了基于共鸣的指点,供用户和构造完成平安的Docker运用和设置装备摆设。

该划定侧重于Docker特有的五个范畴:

· 主机设置装备摆设

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

在之前的文章中,我们给大家介绍了DEF CON CHINA 1.0中的两位神级演讲嘉宾,他们将给我们带来“IPv666 – 魔鬼的地址”的议题分享。今天,再给大家爆料另一位神秘嘉宾。他将在DEF CON CHINA 1.0 上为我们带来“现代恶意软件:反混淆,仿真和隐匿程序”的议题演讲。 Alexandre Borges是Blackstorm Security的CEO,是一位资深的安全研究员,多年来一直致力于逆向工程、恶意软件分析、数字取证、rootkit和软件漏洞利用等领域。社会兼职有Journal of Digital Forensics, Security and Law杂志审稿人,Digital Law And Compliance Committee委员。 Alexandre曾在多个顶级安全会议上发表过演讲,如HITB 2019年(阿姆斯特丹)和2019年CONFidence会议(波兰),DEFCON 2018,H2HC会议(2015年和2016年),BSIDES(2016年,2017年和2018年),BHack(2018年)等。 除此之外,Alexandre还开展关于恶意软件分析、内存分析、数字取证、移动取证和移动恶意软件分析的培训课程。 下面让我们领略下Alexandre Borges的一些分享。 Malwoverview Alexandre是Malwoverview恶意软件分类工具的创建者和维护者: https://github.com/alexandreborges/malwoverview Malwoverview(Malwoverview.py)是一

· Docker保卫顺序设置装备摆设

· Docker保卫顺序设置装备摆设文件

· 容器图象和构建文件

· 容器运转时

这里枚举一下,最佳实践的检测项。

容器运转时合规搜检:

1、确保docker内部存在docker平安顺序,比方:AppArmor,加固:docker run –interactive –tty –security-opt=”apparmor:PROFILENAME” centos /bin/bash

2、docker默许权限检测,须要以下权限:AUDIT_WRITE CHOWN DAC_OVERRIDE FOWNER FSETID KILL MKNOD NET_BIND_SERVICE NET_RAW SETFCAP SETGID

3、确保Docker socket没有挂载到内部容器,检测:docker ps –quiet –all | xargs docker inspect –format ‘{{ .Id }}:Volumes={{ .Mounts }}’ | grep docker.sock

4、确保不同享主机的用户定名空间,检测:docker ps –quiet –all | xargs docker inspect –format ‘{{ .Id }}:UsernsMode={{ .HostConfig.UsernsMode }}’

5、限定容器取得新权限要求,检测:docker ps –quiet –all | xargs docker inspect –format ‘{{ .Id }}:SecurityOpt={{ .HostConfig.SecurityOpt }}’

6、确保docker exec敕令不运用user、privileged选项,检测:ausearch -k docker | grep exec | grep user

ausearch -k docker | grep exec | grep privileged

7、确保sshd不在容器中运转,检测:docker ps —quit,docker exec ‘$instance_id ps -el’

宿主机合规搜检:

1、开启对宿主机docker文件和目次的操纵审计功用:

/usr/bin/docker-runc、/usr/bin/docker-containerd 、/etc/docker/daemon.json、/etc/default/docker、docker.socket、docker.service、/etc/docker、/var/lib/docker

2、确保对docker daemon开启审计功用。

3、入侵检测

传统的入侵检测手腕能够经由过程剖析进击链处理:

(1)Webshell检测:经由过程监控容器内部的web目次,连系正则库,类似度婚配,沙箱等多种检测要领,准时检测文件转变,从而及时发明Web后门。

(2)反弹shell检测:经由过程对容器用户历程行动的及时监控,发明历程的不法Shell衔接行动、而且连系要挟谍报,对外联shell监控,关于新建黑客基础设施,经由过程汗青图剖析手艺做进一步鉴别。

(3)当地提权检测:经由过程对用户历程行动举行及时监控,发明历程的提权行动并关照用户,并供应提权操纵的详细信息。

在往年,业界平安创业公司主流容器处理方案增添了:对容器内部Web效劳的平安检测,能够更好的增添平安事宜收罗点。比方:集成基于docker的WAF组件,或许直接在web效劳里嵌入RASP的处理方案。

0x03、总结

容器镜像破绽扫描、容器相关合规设置装备摆设搜检和基于容器的入侵检测构成了容器平安的核心内容。更主要的是,须要把web平安组件下沉到容器中,以猎取更有代价的平安数据。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明公有云容器平安
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址