容器雲安全挑戰和攻防應對

雲原生應用創新實踐聯盟容器雲安全課題組的目標是幫助企業健全容器安全防護工作體系，提供映象安全、基礎設施安全、執行時安全等能力建設參考，減少摸索時間，讓更多重要生產應用執行在安全的容器環境中。本期介紹該課題組階段性研究成果之一。

基於弱安全容器技術實現的容器雲平臺自身存在動態難跟蹤、敏捷快速迭代、更多風險來源和更大攻擊面等問題，在面對日益嚴峻的安全環境，需要持續不斷的增強安全意識，改進安全防護方法，應對安全挑戰。本文引入了ATT&CK攻防框架，有助於深入瞭解容器雲安全體系和攻防應對，同時也基於筆者個人理解提出了攻防應對的步驟。

引言

由於容器在隔離和安全性方面存在的天然缺陷，隨著安全攻防的演練和安全意識的提升，容器的弱安全性和分散式複雜性成為容器企業級應用的阻礙，容器雲採用面臨著安全挑戰。如何使企業在雲原生時代具備容器安全防護能力是推進容器雲企業級應用的一個重要方面。

一、容器雲安全特點

雲原生環境下和傳統以安全域劃分實現安全管控的方法有所不同。網路安全域劃分限制了雲原生的彈性和擴充套件效能力。雲原生消除了這種硬網路邊界，透過軟體來定義邊界和網路，對網路安全能力、身份認證和許可權管控提出了更高的要求。容器雲作為雲原生應用的部署運維平臺，居於雲原生技術架構的中心。容器的彈性、生命週期短、輕量和數量眾多、故障自愈(異常重啟遷移)等也使容器安全具備動態、敏捷迭代、更大攻擊面、難以跟蹤等特點。

1. 動態難跟蹤

採用容器最核心的是用其按需彈性伸縮的能力，所以也使容器雲環境持續在動態變化中。容器雲環境中容器可能不斷地被建立和銷燬、自我複製、從一臺節點遷移到另外一臺節點等。這和傳統伺服器上部署一個或幾個固定的應用或元件是不一樣的，管理方式也面臨著挑戰，安全的防護意識和手段也需要變革。動態變化的容器安全除了透過安全左移儘可能消除安全漏洞外，也需要將傳統透過防火牆、黑白名單等靜態安全防護方式轉變為多種手段的實時檢測和防護。

2. 敏捷迭代

輕量的容器適合承載微服務化應用，以支援應用快速變更、敏捷迭代、彈性可擴充套件性等需求。採用DevOps 化的應用釋出非常頻繁，可能是傳統應用釋出方式的幾倍、幾十倍甚至幾百倍等。容器安全漏洞往往透過快速釋出一個修復了漏洞的新的版本來替換，而不是為容器安裝補丁。提升了業務服務的迭代速度。

3. 更大的攻擊面

雲原生架構體系涉及的技術和元件眾多，容器雲平臺自身也擁有眾多的開源元件，這勢必會帶來很多潛在的風險，比如作業系統核心漏洞、作業系統元件漏洞、log4j漏洞、Jackson Json漏洞、k8s漏洞、SpringCloud漏洞等。另外，很多企業的映象都是來自於網際網路，這些映象往往本身就存在很多漏洞，有的甚至被注入木馬;微服務化使映象和容器的數量成倍的增加，也就使暴露的漏洞數量成倍增加;容器雲大二層網路模式更暴露了大量的業務IP，帶來了更大的攻擊面。

4. 更多風險來源

由於映象來源於不同的地方，特別是很多企業供應商眾多，開發人員數量龐大，很多基礎映象來源不明，可能存在很多風險，映象掃描雖然可以消除大部分漏洞，但一些經過處理隱藏的檔案可能難以被探測到。另外由於容器雲平臺存在更大的攻擊面，其潛在風險就可能數倍增加。

容器雲安全特點也使容器雲平臺的建設和運營面臨著安全防護意識和安全防護方式的挑戰。

二、容器雲安全挑戰

1. 安全防護意識挑戰

相對於傳統網路分域安全管控，雲原生的大一統網路模式模糊了安全邊界概念。如果要實現容器雲平臺的彈性伸縮、自由擴充套件能力，在網路層和資源層就不能有那麼多限制，網路邊界不能劃分的太細。當前由於攻防演練等要求，企業內部物理網路安全域有劃分的越來越小的趨勢，導致很多公司在不同的安全域安裝容器雲叢集，也使叢集數量倍增，但每個叢集都不大，資源有限，做不到合理彈性;另外需要在眾多的防火牆上配置埠訪問許可權，使容器雲管理變的複雜化，使業務訪問效率和互動效能下降。

筆者分享過容器雲安全意識所面臨的挑戰，需要認識到傳統網路安全和雲原生安全的不同，儘可能減少風險接觸面;同時需要認識到架構發展的趨勢，以融合架構逐步引領單體豎井架構轉型，實現企業級複用;透過安全等基礎設施自服務化來賦能研發和業務團隊，促進企業DevOps組織團隊的建設和最佳化，從而協調生產關係適應生產力的發展。

只有想不到，沒有做不到。安全意識的提升和變革是最難的。特別這麼多年固有的思維方式，以及變革可能帶來的不穩定和風險，都會阻礙新方式和方法的採用。

2. 安全防護方式挑戰

容器雲安全防護方式也不同於傳統網路安全的被動防禦，需要從被動轉換為主動防護，從靜態檢測轉變為互動式檢測。容器在帶來彈性可擴充套件性等便利的同時，也封裝了內部邏輯，對很多人來說是一個“黑盒”，如果僅採用傳統的映象檔案靜態掃描，很難發現容器執行時的危險操作。

容器雲主動的防護方式，首先可以利用安全左移思想，將安全隱患儘可能消除在開發階段。但安全左移不是說不重視容器執行時環境，執行時的安全措施一點也不能少。安全左移重要的一點是提升研發的安全意識，減少引入不必要的漏洞。其次，安全能力可以作為一種基礎設施，提供安全自服務能力，賦能應用研發和運維團隊，降低安全應用門檻。比如說，容器pod執行時危險命令執行、敏感目錄掛載、異常流量或異常訪問等可以透過許可權管控直接讓應用研發和應用運維人員可見，這樣也可以快速定位問題。

面對雲原生環境下和傳統網路環境下並存的容器雲環境安全挑戰，不少的企業和組織也提供了很多的方案、很多的安全框架及安全模型。在安全攻防應對上，當前Att&CK框架比較受關注。

三、ATT&CK框架

ATT&CK框架由美國研究機構MITRE在2013年提出的，它將已知攻擊者的行為彙總為戰術和技術的結構化列表，相對全面的呈現了攻擊者在進行網路攻擊時所採取的行為和技術，對於企業進行安全攻防建設具有非常重要的參考價值。(讀者有興趣可以搜尋“ATT&CK”以獲取更多更深入的內容。)

ATT&CK也對比了眾多的報告，列出了攻擊者最常用的攻擊手段，另外Red Canary也基於客戶環境發生的惡意事件的分析提出了供給者常用的攻擊手段，結合兩項分析結果，可以看到常用的攻擊技術有PowerShell、指令碼執行、命令列介面、登錄檔Run Keys/啟動資料夾、偽裝、混淆檔案或資訊、憑據轉儲等。我們在建設容器雲平臺的時候，就要求禁用命令列操作，不提供終端工具，所有的操作透過平臺介面完成，這樣可以有效的進行操作審計，規避誤操作等問題。

四、容器雲安全攻防應對

ATT&CK框架有數百種攻擊技術，並且可能隨著技術應用和發展而不斷開發出新的技術，作為容器雲安全攻守的守方，該如何應對?知己知彼，是安全應對的首要步驟。

1. 知己知彼

容器雲安全攻防應對中，知己首先要對容器雲上的相關資產進行梳理。容器雲平臺自身可能實現了部分能力，但往往並沒有全面梳理資產，很多資產不可見。比如說每個容器建立了多少程式，如果看不到，就無從監控和應對。容器雲平臺安全首先要對容器相關的資產從不同的視角進行梳理，做到可見、可管理。

知彼是要對攻擊者的手段有所瞭解。ATT&CK的戰術和技術框架給我們了一個非常好的參考。透過ATT&CK框架可以瞭解到哪種戰術有哪些技術手段，從而根據自己的資產和技術能力選擇合適的架構和方案。

2. 選擇合適的架構和方案

筆者在規劃容器雲安全架構時，定義了縱向分層、橫向分段的安全網格方案(可參考：《基於容器特點和傳統網路安全能力進行容器雲安全規劃設計》)，對容器雲平臺不同點的安全問題更有針對性地採取合適的安全措施。其實這和ATT&CK的戰術和技術框架有點類似。安全涉及方方面面，既需要整體的規劃實現協作關聯、也需要每一個點實實在在的防護措施。比如說，映象漏洞問題，既需要在開發階段選擇安全的基礎映象和構建安全合規的服務映象，透過安全掃描，滿足合規要求才能上傳映象庫。但如果不按要求繞過流程直接上傳映象到映象庫，甚至直接上傳映象到容器節點，可能會帶來一些風險。因此在不同的點位都需要安全檢查：程式碼安全檢查、流水線映象安全檢查、映象倉庫映象檢查、節點映象檢查、容器執行時映象檢查等。

容器雲安全分層中，可以把業務服務、租戶使用者的訪問控制和k8s層的認證授權關聯起來，明確層次之間對映的關係。很多人不在k8s層建立ServiceAccount，直接用Apiserver的admin賬號，這會存在隱患。有Apiserver的admin許可權，就可以檢視叢集內所有的資產和資源，也就失去了透過名稱空間進行隔離的意義，所有的服務都可能被洩露。

3. 選擇合適的應對技術

透過安全網格劃分，可以有針對性地選擇合適技術，提升安全能力，增強檢測和應對能力。容器雲平臺有眾多的開源元件和服務，攻擊面龐大，比如說網路、主機節點、儲存，容器執行時，映象，編排及元件安全，應用、資料等。針對ATT&CK框架每項攻擊技術MITRE也提供了應對方法Shield防禦技術，比如說”程式發現“，可以透過隱藏主動防禦程式和程式誘餌來吸引攻擊者，獲得攻擊者資訊以便進一步採取措施。

4. 持續演練、總結和改進

攻擊的手段層出不窮，只有熟悉攻擊的手段和方法，持續的監控和響應，才能構建堅實的防禦。有條件的情況下可以嘗試不斷進行攻防演練，總結不足，持續的改進完全弱點，才能不斷地增強安全能力。有時候可能牽一髮而動全身，所以也往往不願意去動它。但這種隱患會一直存在，很難說在某個時刻會帶來損失。因此，好的的方法是持續去發現安全問題，並修復這些問題。

雲原生時代，在利用容器的優勢的同時，容器雲安全面臨著眾多的挑戰。認識到容器雲的安全特點並選擇合適的技術架構、方法和手段來持續增強容器雲安全能力，應對潛在安全風險和攻擊行為，也是採用容器雲平臺需要重點考慮的一個方面。

【執筆專家】

汪照輝 容器雲安全使用者委員會委員

twt社群雲原生應用創新實踐聯盟——容器雲安全方向課題組專家 ，注於容器雲、微服務、DevOps、資料治理、數字化轉型等領域，對相關技術有獨特的理解和見解。擅長於軟體規劃和設計，提出的“平臺融合”的觀點越來越得到認同和事實證明。發表了眾多技術文章探討容器平臺建設、微服務技術、DevOps、數字化轉型、資料治理、中臺建設等內容，受到了廣泛關注和肯定。

【顧問專家】

羅文江 容器雲安全使用者委員會委員

twt社群雲原生應用創新實踐聯盟——容器雲安全方向課題組組長，招商銀行雲端計算架構師，當前從事銀行私有云和公有云基礎設施、以及混合雲架構的建設，參與包括容器雲等相關雲服務的規劃、技術選型、架構設計和實施，以及業務連續性等保障體系的建設工作。

王蕊 容器雲安全使用者委員會委員

twt社群雲原生應用創新實踐聯盟——容器雲安全方向課題組專家，北銀金科雲端計算應用部資深架構師，從事企業級系統開發，架構設計工作10餘年，曾就職於Sun中國工程研究院，IBM全球解決方案服務部，Watson醫療等部門。在Cloud和微服務等主流技術和大型系統現代化改造，微服務，雲原生系統設計領域有豐富經驗。