容器安全解决方案的探讨与研究.pdf

2 0 2 4年1期1 5 3 2 0 2 4年第4 6卷第1期容器安全解决方案的探讨与研究秦国强作者简介:秦国强(1 9 9 0-),本科,研究方向为通信技术、云计算、大数据。(中国电信股份有限公司重庆分公司 重庆4 0 0 0 0 0)摘 要 随着企业数字化转型的推进和云计算技术的普及,D o c k e r容器以其轻量、敏捷、快速部署等特点得到了广泛应用。但同时,安全问题也逐渐暴露,如隔离性差、加固复杂、可能导致容器逃逸、恶意镜像攻击、数据泄露等。文中分析了这些安全问题,探讨了相关防护方法,旨在为使用容器的用户提供安全防护指南。关键词:D o c k e r;容器;安全中图分类号 T P 3 0 9.2D i s c u s s i o na n dR e s e a r c ho nC o n t a i n e rS e c u r i t yS o l u t i o n sQ I NG u o q i a n g(C h i n aT e l e c o mC o.,L t d.,C h o n g q i n gB r a n c h,C h o n g q i n g4 0 0 0 0 0,C h i n a)A b s t r a c t W i t ht h ep o p u l a r i t yo fe n t e r p r i s ed i g i t a l t r a n s f o r m a t i o na n dc l o u dc o m p u t i n gt e c h n o l o g y,D o c k e rc o n t a i n e r sh a v eb e e nw i d e l yu s e d f o r t h e i r l i g h t w e i g h t,a g i l e,a n d f a s td e p l o y m e n t c h a r a c t e r i s t i c s.B u t a t t h es a m e t i m e,s e c u r i t y i s-s u e sh a v eg r a d u a l l yb e e ne x p o s e d,s u c ha sp o o r i s o l a t i o n,c o m p l e xr e i n f o r c e m e n t,p o s s i b l ec o n t a i n e re s c a p e,m a l i c i o u si m a g ea t t a c k s,a n dd a t al e a k a g e.T h i sp a p e ra n a l y z e st h e s es e c u r i t yi s s u e s,d i s c u s s e sr e l e v a n tp r o t e c t i o nm e t h o d s,a n da i m s t op r o v i d es e c u r i t yp r o t e c t i o ng u i d e l i n e s f o ru s e r sw h ou s ec o n t a i n e r s.K e y w o r d s D o c k e r,C o n t a i n e r,S e c u r i t y0 引言随着云计算和I T架构的演进,I T系统云化成为必然。但虚拟化主机不能解决传统应用架构复杂和迭代速度较慢的问题,因此云原生概念应运而生。中国电信的“四云平台”基于云原生理念,具有集中资源管理、可视化操作、快速部署等功能,支撑业务系统向云原生和微服务化转型。容器作为云原生关键技术,已经变成了一种真正意义上的基础设施,但目前的安全防护体系还停留在“I O E”时代,传统基于边界(防火墙、I P S等)的防护模型难以满足新架构的要求,这容器安全问题时有发生,危害性极大。因此,必须研究基于容器技术的风险和应对策略,构建容器安全防护体系。1 容器安全风险与挑战1.1 容器的脆弱性和安全风险分析容器技术是一种轻量级的虚拟化技术,其通过操作系统层面的资源虚拟化来实现对计算机系统资源的隔离和控制,每个容器都有独立的名称、空间,使容器内部的应用运行互不影响。D o c k e r是目前最具代表性的容器平台。图1展示了虚拟机和容器在实现架构上的区别。D o c k e r采用C/S架构,D o c k e r主机运行D o c k e r服务程序,D o c k e rC l i e n t根据需求向服务程序发出A P I请求1。本文 以D o c k e r为 例,分 析 容 器 的 脆 弱 性 和 存 在 的 安 全风险。图1 虚拟机与容器架构对比1.1.1 D o c k e r软件设计与漏洞风险D o c k e r与主机共享操作系统内核和主机资源,隔离性不强,配置不当可能导致如下风险。(1)网络攻击风险。D o c k e r默认采用B r i d g e模式组网,连接所有容器到一个名为D o c k e r 0的网络桥形成局域网,这可能受到A R P欺骗、流量嗅探、广播风暴等局域网攻击。(2)资源耗尽拒绝服务。同一主机容器共享资源,由1 5 4 2 0 2 4年1期N o d e操作系统进行集中的调度和分配。若管理不当,可能导致资源使用不均,甚至资源耗尽,造成服务拒绝。(3)逃逸风险。容器与宿主机共用操作系统内核,如果操作系统内核存在横向越权或提权漏洞,容器中的攻击者就可以利用内核漏洞逃逸到宿主机,从而获取更高的权限。(4)特权权限。在特权模式下运行D o c k e r,D o c k e r内的R o o t用户将获得宿主机的超级权限。(5)隔离风险。D o c k e r容器并非完全隔离,部分重要的系统文件(如/s y s,/p r o c/s y s,/p r o c/b u s等)未被隔离,可能引发安全风险。1.1.2 镜像风险公共仓库获取的镜像主要面临两大风险,分别是镜像内软件的安全漏洞和镜像中的恶意程序,如挖矿程序、后门、木马等。研究发现,在D o c k e rH u b中的4 0 0万个镜像中,有5 1%存在高危漏洞,如图2所示。图2 D o c k e rH u b镜像扫描统计1.1.3 敏感端口风险D o c k e r服务默认监听在U n i xS o c k e t上,同时提供远程R E S TA P I接口,如D o c k e rS w a r m开放的2 3 7 5端口。该服务以守护进程的形式运行,通常会暴露非加密端口2 3 7 5可以通过特定启动参数让D o c k e r监听所有本 地 地 址 的2 3 7 5端口。然而,未经加密和不受访问控制的A P I服务若在网络中暴露,攻击者就可以获取容器数据,导致敏感信息泄露、数据被恶意删除,甚至可能使其逃逸到宿主机获取超级用户权限,从而完全控制服务器2。1.1.4 隔离失效风险由于容器共享主机内核,因此存在隔离失效的风险。(1)若容器操作系统内核被攻破,攻击者就可访问服务器上的文 件 系 统,或 横 向 进 入 相 邻 容 器,导 致 容 器 隔 离失效。(2)多容器可共享挂载主机文件目录,攻击者只要进入某个容器中,即可通过共享目录访问其他容器的数据,导致数据泄露或文件被篡改。1.2 安全威胁分析1.2.1 容器逃逸攻击利用D o c k e r引擎、操作系统漏洞等,通过容器入侵、获取主机权限。例如,D o c k e r 1.0对C a p a b i l i t y使用黑名单策略,对C A P_D A C_R E A D_S E A R C H能力没有限制,容易引发容器逃逸,如C V E-2 0 1 9-5 7 3 6r u n C漏洞导致的容器逃逸、C V E-2 0 1 6-5 1 9 5L i n u x内核脏牛漏洞导致的容器逃逸等。1.2.2 容器网络攻击D o c k e r支持B r i d g eN e t w o r k,M a c V L AN,O v e r l a yN e t-w o r k网络,但这些网络都存在一定的安全风险。(1)B r i d g eN e t w o r k。D o c k e r默认的网络驱动,同一主机上的容器都桥接到D o c k e r 0网桥,通过D o c k e r 0进行路由和NA T转发,使得容器之间的横向攻击更为简便。(2)M a c V L AN。该模式会将容器直接连接到主机的网络接口,与B r i d g eN e t w o r k相比,它增强了虚拟和物理网络的隔离性。然而,当多个容器位于同一虚拟网络中时,由于没有有效的权限管控,攻击者可能会得到容器权限并进行网络攻击。(3)O v e r l a yN e t w o r k。该模式利用V x L AN技术在物理网络之上构建虚拟网络,如使用F l a n n e l构建的K u b e r-n e t e s集群网络,但这种网络上的流量没有被加密,存在被窃取或被篡改的风险。此外,O v e r l a yN e t w o r k通常存在一些未被有效控制的连接,可能会引发A R P欺骗、广播风暴、嗅探等网络攻击。1.2.3 拒绝服务攻击容器的实质是操作系统进程,共享主机资源和内核,其隔离性不足,因此更容易受到拒绝服务攻击的威胁。例如,容器内存默认无限制,但若某个容器过度消耗主机资源,将引发资源争用,这可能会导致同主机上的其他容器无法正常运行3。2 容器安全防护思路2.1 镜像安全防护2.1.1 镜像构建安全容器镜像是包含程序、依赖库、配置、环境变量等的只读模板。镜像构建就是将应用程序和运行环境捆绑起来,创建轻量、可执行的独立软件包。为确保安全,应在构建阶段实行安全左移,从应用编码开始全面考虑生命周期安全,构建可信赖的镜像。2.1.2 镜像存储安全在存储阶段,镜像通过私有镜像库进行管理,防止第三方库的脆弱性及其导致的网络威胁。定时进行安全扫描,以发现并处理镜像存储中的安全漏洞。2.1.3 镜像分发安全当前的D o c k e r安全开发工具主要侧重于镜像安全扫描和预分析,其可以从C V E和恶意镜像两方面进行审查。在发行阶段,需定期扫描、修复漏洞,执行签名验证机制,以确保镜像的完整性、安全性。2.2 容器构建阶段的安全防护2.2.1 容器安全防护(1)入侵测试。通过容器接口测试,禁用不必要的操作系统服务高危端口;配置监测软件,定时升级并自动更新恶意程序库。(2)数据保存。对存储容器内的关键信息数据实行高秘密性、完全的保存。移动信息2 0 2 4年1期1 5 5 (3)权限管理。对容器开启和操作权限进行控制,以防止用户获取不必要的权限。2.2.2 主机安全防护(1)安全技术手段部署。规划、部署恶意流量检测等云化平台主机安全保护手段与措施。(2)容器管理。为容器提供单独分区方式,防止将宿主机上的敏感目标映射到容器中,并对容器守护进程、有关文档、目录信息等进行实时审计。2.3 容器运行阶段的安全防护2.3.1 容器安全监测(1)入侵检测。应用进程通过黑/白名单机制和恶意程序监测,屏蔽异常进程,以防止提权入侵、违规操作等风险。(2)异常行为检测。配置相关安全检测点和规则,对容器、运行环境、进程等网络活动进行分析监控。例如,检测配置文件变更、敏感权限变更、建立特权容器、N a m e s p a c e变更、挂载敏感目录、提权、异常脚本、命令行进入容器、使用A p t g e t或C u r l等,以监测进程提权、从容器逃逸等。(3)流量可视化。容器的生命周期短暂性对运维管控提出了新的挑战。为有效应对该问题,需要建立网络流量数据的可视化管理能力,自动生成数据集群和服务依赖关系图,并通过信息服务映射进行数据流过滤,以提高安全监控和运维的效率。2.3.2 容器安全隔离(1)权限管理。采用基于角色的访问权限管理,精确管控各个租户的资源权限。(2)网络集群内容器可实现内部的隔离防护控制功能。容器的生命周期极短导致I P地址频繁变化,传统的静态I P地址、终端配置的网络交换和筛选规则不再适用。因此,需要设定网络访问规范,实施容器内部的网络访问管理,并在网络集群中引入内部网络防火墙。(3)多租户应用环境、资源、服务隔离保护。通过命名空间实现不同租户资源的逻辑分离,并限制非白名单的租户请求。建立高级别租户资源模型,以实现细致的安全性管控,同时确保共享资源使用的均衡性。针对敏感服务,应实行独享的K u b e r n e t e s集群策略,确保服务在独立的节点上运行,以增强多租户环境下的安全性。3 容器安全产品能力设计基于上文分析,容器的安全防护产品应具备以下6种能力。(1)资源可视化管理。具备自动发现各类资产的能力,包括采集宿主机、k 8 s、容器等的基本信息的能力。资产信息的采集和检索是合规检测、漏扫、入侵检测及响应处理的基础。(2)合规检测。支持对容器编排环境的合规性检测,包括识别和强化不安全配置,并支持C I S-b e n c h m a r k-d o c k e r、C I S-b e n c h m a r k-K u b e r n a t e s安全基线等。(3)镜像的漏洞扫描。能对容器环境基础设施(包括主机操作系统)、仓库中的容器镜像等进行漏洞扫描,从源头上降低镜像风险,并在部署和运行阶段再次确认镜像的安全性。(4)容器内入侵事件监控。应具备对容器内入侵事件的监控能力,包括监测非法进程、检测进程链和系统文件的变化等。(5)容器东西向流量安全防护。应具备微隔离能力,对东西向流量实行细粒度隔离。通过基于租户网络、命名空间、容器间、容器和节点间的隔离,可识别、监控、限制容器和节点之间的网络请求,避免网络攻击和病毒蔓延。(6)异常行为响应/处理能力。应具备对异常事件的影响评估和处理能力,包括在镜像实例化前的安全检测、对异常事件的隔离等,以阻止问题的进一步扩大。4 结语随着云原生应用的发展,容器技术作为其关键基础与核心技术,得到了广泛应用。在云原生计算基金会(C N C F)的推动下,容器技术已成为云原生的核心技术,为应用容器化、全面云原生开发提供了支持。然而,随之而来的安全挑战也需得到重视。近年来,容器安全问题频发,如逃逸攻击、恶意镜像、A P I端口暴露等。本文主要阐述、分析了容器涉及的安全风险,提出了容器安全的防护思路,并为容器的使用和容器安全防护产品应具备的能力给出了可供参考的建议。参考文献1中国信 通 院.云 原 生 发 展 白 皮 书2 0 2 0E B/O L.h t t p s:ww w.s e c r s s.c o m/a r t i c l e s/2 4 2 8 4.2 0 2 0-1 2-1 22云原生产业联盟.云原生架构安全白皮书2 0 2 1E B/O L.h t-t p s:ww w.s o h u.c o m/a/4 6 9 4 3 8 0 3 6_1 2 1 1 2 4 3 6 5.2 0 2 1-0 5-3 0.3胡俊,李漫.容器安全解决方案探讨与研究J.网络空间安全,2 0 1 8,9(1 2):1 0 5-1 1 3.移动信息