容器云安全風(fēng)險分析及防護體系設(shè)計

０引言容器技術(shù)發(fā)展歷史長達20年，經(jīng)歷了從Unixchroot、FreeBSDJails、LinuxVServer、SolarisContainers、OpenVZ、ProcessContainers、LXC、Warden、LMCTFY、Docker、Rocket、WindowsContainers的發(fā)展過程，逐漸開始成熟。隨著云計算技術(shù)的發(fā)展，容器云技術(shù)的使用也越來越廣泛，越來越多的企業(yè)機構(gòu)開始采用容器作為新的IT基礎(chǔ)設(shè)施。容器技術(shù)逐步發(fā)展成以Kubernetes容器管理調(diào)度框架和Docker容器管理器為核心的容器云技術(shù)生態(tài)。圖1容器云技術(shù)生態(tài)開源容器云技術(shù)生態(tài)主要圍繞Kubernetes，構(gòu)建容器管理、容器編排調(diào)度、容器網(wǎng)絡(luò)管理、容器存儲管理、容器鏡像管理等能力。Kubernetes提供了標(biāo)準(zhǔn)的接口，主要包括容器運行時接口CRI、容器網(wǎng)絡(luò)接口CNI、容器存儲接口CSI，以及API接口，其他開源組件按照對應(yīng)接口與Kubernetes對接；同時，Kubernetes形成了可擴展的開發(fā)框架，可以基于該框架開發(fā)自定義的功能和接口。１容器云安全現(xiàn)狀概述1.1容器云安全標(biāo)準(zhǔn)規(guī)范1.1.1國外標(biāo)準(zhǔn)規(guī)范美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology,NIST）發(fā)布了《NIST.SP.800—190應(yīng)用容器安全指南》。該指南總結(jié)概括了容器使用過程中存在的安全問題，并對這些問題提供了針對性的對策和建議。容器安全問題主要包括：①容器鏡像風(fēng)險：可能存在安全漏洞、鏡像配置缺陷、惡意軟件植入、未信任鏡像及明文存儲的風(fēng)險；②容器鏡像倉庫風(fēng)險：包括與鏡像倉庫的連接不安全、鏡像倉庫中的鏡像過時和不完備的認(rèn)證機制；③容器編排工具風(fēng)險：包括管理訪問權(quán)限不受限制、未經(jīng)授權(quán)的訪問、容器間網(wǎng)絡(luò)流量隔離效果差、混合不同敏感級別的工作負(fù)載、編排節(jié)點的可信問題；⑤容器實例風(fēng)險：包括運行時軟件中的漏洞、容器的網(wǎng)絡(luò)訪問不受限制、容器運行時配置不安全、流氓容器；⑥容器主機操作系統(tǒng)風(fēng)險：包括攻擊面大、共享內(nèi)核、主機操作系統(tǒng)組件漏洞、用戶訪問權(quán)限不當(dāng)、篡改主機操作系統(tǒng)文件的文件系統(tǒng)。為了應(yīng)對上述風(fēng)險，《NIST.SP.800-190應(yīng)用容器安全指南》中提出容器的安全防護應(yīng)該覆蓋整個容器的生命周期，即容器的構(gòu)建、分發(fā)和運行三個階段，才能確保持續(xù)的安全性。因此：①需要確保容器構(gòu)建的安全；②需要確保容器鏡像分發(fā)的安全；③需要確保容器運行的安全。由此可見，《NIST.SP.800—190應(yīng)用容器安全指南》主要針對容器技術(shù)本身，沒有綜合考慮容器云環(huán)境系統(tǒng)性、體系化的安全防護能力要求。1.1.2國內(nèi)標(biāo)準(zhǔn)規(guī)范目前，國內(nèi)容器云安全仍處于研究和探索階段，一些研究機構(gòu)、云廠商和安全廠商，提出容器安全白皮書，主要圍繞容器脆弱性、安全威脅闡述了容器云的安全風(fēng)險，并從容器服務(wù)、主機、鏡像、網(wǎng)絡(luò)、運行、編排多個方面提出安全防護思路和方法。個別安全廠商推出了容器安全解決方案，從容器安全風(fēng)險出發(fā)，圍繞容器構(gòu)建、分發(fā)、運行對容器進行安全防護，沒有體系化考慮容器云安全防護體系架構(gòu)。1.2容器云安全應(yīng)用實踐1.2.1DoD企業(yè)級DevSecOpsDoD企業(yè)級DevSecOps將云廠商、安全廠商和應(yīng)用廠商聯(lián)合起來，圍繞應(yīng)用系統(tǒng)設(shè)計、編碼、編譯、打包、發(fā)布、部署、測試、上線、運營等從開發(fā)到運維，提供全生命周期的安全防護。DoD企業(yè)級DevSecOps充分利用開源和業(yè)界的成熟產(chǎn)品，比如紅帽的企業(yè)級容器平臺OpenShift。1.2.2綠盟容器安全解決方案綠盟星云實驗室提出的容器安全解決方案，支持容器鏡像和倉庫的漏洞掃描，異常行為檢測，訪問控制等功能，實現(xiàn)了從容器鏡像構(gòu)建到運行的防護。1.2.3安全狗云甲容器自適應(yīng)安全管理系統(tǒng)安全狗云甲容器自適應(yīng)安全管理系統(tǒng)，采用機器學(xué)習(xí)、智能檢測等新技術(shù)對容器生命周期進行自適應(yīng)安全防護和統(tǒng)一管理，滿足用戶對容器相關(guān)資產(chǎn)的可視化管理、安全事件分析、合規(guī)檢測等容器安全管理需求。1.2.4青藤蜂巢容器安全產(chǎn)品青藤蜂巢容器安全產(chǎn)品，采用Agent-Server技術(shù)架構(gòu)，針對漏洞、不安全配置、入侵攻擊，結(jié)合安全策略，提供覆蓋容器生命周期的、持續(xù)性安全防護。1.2.5華為容器安全服務(wù)華為容器安全服務(wù)，能夠掃描鏡像中的漏洞與配置信息，幫助用戶解決傳統(tǒng)安全軟件無法感知的容器環(huán)境問題，同時提供容器進程白名單、文件只讀保護和容器逃逸檢測功能，能有效防止容器運行時安全風(fēng)險事件的發(fā)生?？偟膩砜?，當(dāng)前容器云安全防護系統(tǒng)都僅圍繞局部的容器安全風(fēng)險進行安全防護，沒有針對容器云安全風(fēng)險進行全面分析和綜合防護。２容器云安全風(fēng)險分析現(xiàn)有容器云的安全配置規(guī)范應(yīng)用情況不理想，在生產(chǎn)環(huán)境中未落實，全球有大量的容器云和容器實例暴露于互聯(lián)網(wǎng)，攻擊者可利用容器云脆弱性發(fā)起攻擊，一旦攻陷，將會對生產(chǎn)環(huán)境產(chǎn)生巨大的安全威脅。因此，需要針對典型容器云平臺環(huán)境，進行全面、系統(tǒng)性的安全風(fēng)險分析，進而體系性設(shè)計容器云安全防護體系。2.1容器云攻擊路徑分析典型容器云部署模式、形態(tài)、角色多樣化，主要部署模式分為：①裸金屬部署；②私有云部署；③公有云部署；主要部署形態(tài)為直接部署于裸金屬服務(wù)器和云主機（虛擬機）；主要部署角色有管理節(jié)點、計算節(jié)點、存儲節(jié)點。因此，典型容器云的攻擊路徑如圖2所示。圖2容器云攻擊路徑分析通常，針對容器云的攻擊主要是由外部惡意用戶和內(nèi)部惡意管理員從網(wǎng)絡(luò)側(cè)發(fā)起攻擊，攻擊對象主要包括：①容器化微服務(wù)網(wǎng)絡(luò)攻擊：潛在攻擊者通過高級可持續(xù)攻擊（AdvancedPersistentThreat，APT）等方式攻擊容器中的應(yīng)用程序，并利用應(yīng)用程序漏洞或者容器權(quán)限，執(zhí)行服務(wù)破壞、惡意操作、數(shù)據(jù)竊取或進行橫向擴展。②容器云組件漏洞攻擊：潛在攻擊者獲取容器權(quán)限后，通過容器與容器編排組件的脆弱性，越權(quán)逃逸，進入云服務(wù)提供商所使用的虛擬機實例或宿主機操作系統(tǒng)，隨后進一步攻擊虛擬機監(jiān)視器進而控制云平臺底層資源并進行橫向擴展。③容器鏡像倉庫攻擊：潛在攻擊者通過攻擊容器鏡像倉庫，可以篡改容器鏡像，在容器鏡像中植入惡意代碼，用戶使用帶有惡意代碼的容器并運行后，攻擊者利用惡意代碼執(zhí)行惡意操作。④界面、API接口缺陷：已獲取容器云權(quán)限的攻擊者和惡意管理員通過容器云提供的控制臺或開放式API，利用控制臺應(yīng)用漏洞或API漏洞訪問，對容器云平臺業(yè)務(wù)、運維和管理連接的內(nèi)部網(wǎng)絡(luò)進行攻擊，進而隨意橫向擴展攻擊其他容器和組件。⑤硬件管理接口缺陷：潛在攻擊者通過裸金屬服務(wù)開放的管理接口存在的漏洞和缺陷，控制服務(wù)器底層硬件，并進一步利用管理網(wǎng)絡(luò)橫向擴展，作為跳板攻擊云管理、服務(wù)器管理、網(wǎng)絡(luò)管理和存儲管理，癱瘓整個容器云基礎(chǔ)設(shè)施。2.2容器云安全漏洞分析2.2.1容器云安全漏洞統(tǒng)計截至2020年10月，容器云各關(guān)鍵組件漏洞統(tǒng)計分型情況如圖5所示，其中Docker相關(guān)的漏洞共81個，在漏洞數(shù)量上并沒有明顯減少的趨勢，一旦黑客突破Docker，如容器逃逸，將會對主機造成巨大威脅；Kubernetes的安全對整個項目的安全生產(chǎn)運行是一個重要保障，Kubernetes相關(guān)的漏洞共65個，主要的漏洞類型包括：敏感數(shù)據(jù)泄露、拒絕服務(wù)、弱校驗、非法提權(quán)等；etcd有輕量級、簡單、高效等優(yōu)勢，但其安全性也同樣值得關(guān)注，etcd相關(guān)的漏洞共7個；Istio是連接、加固、控制和觀察微服務(wù)的開放平臺，具備負(fù)載均衡、服務(wù)到服務(wù)的認(rèn)證、監(jiān)控等功能，解決微服務(wù)治理中的諸多難題，相關(guān)的漏洞共9個。容器各關(guān)鍵組件高危漏洞分型統(tǒng)計情況如圖3所示。圖3容器關(guān)鍵組件高危漏洞分型統(tǒng)計除容器云組件漏洞頻發(fā)外，容器鏡像安全形勢也十分嚴(yán)峻，在用戶的生產(chǎn)環(huán)境中，有40%的鏡像來源于公開的鏡像倉庫，鏡像的漏洞問題依然十分突出，對生產(chǎn)環(huán)境中的鏡像漏洞掃描通過率僅為48%。2.2.2容器云安全漏洞趨勢圖4容器關(guān)鍵組件歷年漏洞數(shù)量走勢近年來，隨著容器云廣泛應(yīng)用，容器云安全漏洞頻繁被發(fā)現(xiàn)，呈逐年上升趨勢（統(tǒng)計趨勢如圖4所示），漏洞影響越來越嚴(yán)重。如果沒有及時、有效的防范，攻擊者利用這些漏洞，可輕易對容器云基礎(chǔ)設(shè)施造成致命攻擊。2.3容器云安全事件分析2017年1月，IBM將私鑰泄露到了公有主機環(huán)境上，這會將訪問托管容器底層主機的root訪問權(quán)授予普通云服務(wù)用戶，使底層云平臺的信息安全面臨巨大威脅。2019年4月，DockerHub遭受非法入侵，已導(dǎo)致19萬個賬號的敏感數(shù)據(jù)被泄露，這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼，以及用于自動構(gòu)建Docker鏡像而授權(quán)給DockerHub的GitHub和Bitbuckettoken。一旦容器云沒有實施全面有效的安全防護，黑客可利用漏洞攻擊容器云上的服務(wù)，或可進一步利用容器云漏洞，直接訪問容器云上的敏感信息，獲取服務(wù)器特權(quán)，對容器云進行修改并最終完全控制服務(wù)器，造成惡劣影響和重大損失。所以必須綜合考慮容器云環(huán)境下的Docker、Kubernetes、etcd、Istio等組件的整體安全性，分析研究它們的漏洞特征，進而才能構(gòu)建一條完整防線。2.4容器云安全風(fēng)險總結(jié)綜上所述，容器云的安全風(fēng)險亟需解決，應(yīng)從容器云攻擊路徑和脆弱性，基于縱深防御思想，設(shè)計全面、有效的容器云安全防護體系，圍繞容器云各個組件、各個環(huán)節(jié)建立多種、多層防御機制，封堵容器云的攻擊途徑。３容器云安全防護體系設(shè)計針對容器云安全風(fēng)險，對容器云安全能力提出要求，進而依據(jù)安全要求設(shè)計具有針對性的容器云安全防護體系是解決容器云安全風(fēng)險的有效措施。3.1容器云安全能力要求為應(yīng)對容器云安全風(fēng)險，容器平臺應(yīng)具備以下能力要求：3.1.1容器主機安全能力要求主機操作系統(tǒng)應(yīng)遵循最小化安裝原則；應(yīng)定期進行漏洞掃描，及時安裝補丁程序；主機操作系統(tǒng)的敏感數(shù)據(jù)應(yīng)加密存儲；應(yīng)具備入侵檢測、主機安全認(rèn)證、主機權(quán)限管控的能力；應(yīng)支持國產(chǎn)化軟硬件平臺。3.1.2容器鏡像安全能力要求應(yīng)具備容器鏡像加密保護和防篡改的能力；應(yīng)具備策略管理功能對鏡像進行安全管理的能力。3.1.3容器管理器安全能力要求應(yīng)具備安全組件服務(wù)分布式部署和安全策略管理統(tǒng)一配置管理能力；應(yīng)具備云內(nèi)資源可管、可控、可視的能力；應(yīng)具備容器組件、鏡像、實例可信的能力；應(yīng)具備云資源的監(jiān)控并對關(guān)鍵指標(biāo)進行告警的能力。3.1.4容器網(wǎng)絡(luò)安全能力要求應(yīng)具備容器全鏈路數(shù)據(jù)加密傳輸及網(wǎng)絡(luò)通信安全的能力；應(yīng)具備防火墻級別數(shù)據(jù)包過濾和狀態(tài)監(jiān)測的能力；應(yīng)具備容器間網(wǎng)絡(luò)隔離、流量控制、訪問控制的能力；應(yīng)具備全容器間可視化網(wǎng)絡(luò)監(jiān)控的能力。3.1.5容器存儲安全能力要求應(yīng)具備保證數(shù)據(jù)完整性、機密性、可用性的能力；應(yīng)具備保證容器存儲數(shù)據(jù)高可用的能力；應(yīng)具備根據(jù)密級不同進行針對性保護的能力。3.1.6容器編排安全能力要求應(yīng)具備資源按需分配、彈性伸縮合法性檢測的能力；應(yīng)具備良好的災(zāi)難備份與應(yīng)急響應(yīng)能力。3.1.7容器倉庫安全能力要求應(yīng)具備對開發(fā)者所供鏡像具有審核機制的能力；應(yīng)具備對容器倉庫所有鏡像驗證其可信的能力；應(yīng)具備容器鏡像加密存儲的能力。3.1.8容器平臺管控能力要求應(yīng)具備容器云資源統(tǒng)一身份認(rèn)證能力；應(yīng)具備對虛擬資產(chǎn)安全管理的的能力；應(yīng)具備身份認(rèn)證及管理分權(quán)的能力；應(yīng)具備操作審計能力。3.1.9容器云風(fēng)險感知和處置能力要求應(yīng)具備容器云安全監(jiān)管、安全態(tài)勢監(jiān)測、安全風(fēng)險預(yù)警的能力。3.2容器云安全防護體系總體設(shè)計思想容器云安全防護體系基于縱深防御思想，借鑒自適應(yīng)安全模型、可信計算安全框架、零信任安全模型、隱私計算安全模型，融合多種安全防御手段和機制，從認(rèn)證鑒權(quán)、運行環(huán)境、安全執(zhí)行多個維度構(gòu)建可信空間，建立“預(yù)測-檢測-防御-響應(yīng)”的安全閉環(huán)和主動防御能力。3.3容器云安全防護體系架構(gòu)設(shè)計容器云安全防護與傳統(tǒng)安全防護主要的區(qū)別在于防護邊界消失和虛擬資源的動態(tài)捷變。容器云安全防護體系有內(nèi)置式、插拔式和外掛式安全防護三個維度，如圖5所示。圖5容器云安全防護體系架構(gòu)設(shè)計內(nèi)置式安全防護將安全機制融入容器云平臺各個組件中，與容器云融為一體，不可繞過；插拔式安全防護將安全能力以插件方式對容器云部分組件進行替換，建立安全防護能力；外掛式安全防護通過松耦合的方式對容器云進行安全防護。容器云安全防護體系基于這三個安全防護維度，由內(nèi)而外全面防御，設(shè)計7類容器安全防護系統(tǒng)，包括：內(nèi)在安全容器平臺、容器平臺安全運行服務(wù)保障系統(tǒng)、容器平臺服務(wù)安全治理系統(tǒng)、容器平臺統(tǒng)一安全審計系統(tǒng)、容器平臺統(tǒng)一安全信任系統(tǒng)、容器平臺統(tǒng)一安全管控系統(tǒng)、容器平臺統(tǒng)一監(jiān)測預(yù)警系統(tǒng)。內(nèi)在安全容器平臺基于密碼基礎(chǔ)設(shè)施和信任基礎(chǔ)設(shè)施，建立計算和安全并行運行的雙體系，提供高安全的容器服務(wù)運行支撐環(huán)境；容器平臺安全運行服務(wù)保障系統(tǒng)基于IntelSGX、AMDSEV、ARMTrustZone等硬件輔助安全能力構(gòu)建可信執(zhí)行環(huán)境，保護云服務(wù)和數(shù)據(jù)服務(wù)；容器平臺服務(wù)安全治理系統(tǒng)基于服務(wù)網(wǎng)格技術(shù)，融合密碼保護、身份認(rèn)證和訪問控制，構(gòu)建微服務(wù)間端到端安全防護能力；容器平臺統(tǒng)一安全審計系統(tǒng)對容器云人員、操作、行為進行全方位安全審計；容器平臺統(tǒng)一安全信任系統(tǒng)基于物理硬件身份為容器云中的人員、節(jié)點、容器等對象提供可信保障；容器平臺統(tǒng)一安全管控系統(tǒng)站在第三方角度對容器云資產(chǎn)、資源狀態(tài)、合規(guī)性等進行安全監(jiān)管；容器平臺統(tǒng)一監(jiān)測預(yù)警系統(tǒng)通過數(shù)據(jù)采集，感知容器云安全態(tài)勢，預(yù)測容器云安全趨勢，對容器云安全事件和風(fēng)險進行預(yù)警。４結(jié)語

容器云技術(shù)正蓬勃發(fā)展，趨于成熟，信息系統(tǒng)軟件設(shè)計模型趨向于微服務(wù)架構(gòu)和容器化部署，越來越多的信息系統(tǒng)發(fā)布