容器安全技術(shù)在容器安全技術(shù)在5G邊緣云上的應(yīng)用 Part015G邊緣云中的容器應(yīng)用場景5G賦能千行百業(yè)ITU（國際電信聯(lián)盟）定義了5G三大應(yīng)用場景：增強型移動寬帶（eMBB）、海量機器類通信（mMTC）及低時延高可靠通信（uRLLC）。5G正賦能千行百業(yè)，未來這項技術(shù)將與更多的產(chǎn)業(yè)相融。邊緣云技術(shù)助力邊緣云技術(shù)助力5G事實上，如果單純依靠5G作為5G的關(guān)鍵技術(shù)之一，邊緣計算通過在網(wǎng)絡(luò)邊緣就近提供數(shù)據(jù)和計算服務(wù)，將大幅減少數(shù)據(jù)處理和服務(wù)交付的時延，滿足垂直行業(yè)對網(wǎng)絡(luò)大流量、低時延以及安全與隱私保護(hù)等方面的需求。容器技術(shù)貼合容器技術(shù)貼合5G邊緣云計算場景由于容器技術(shù)具備輕量級操作系統(tǒng)虛擬化與可移植性等優(yōu)秀的特性，非常適合5G邊緣云計算的場景。以K8S（Kubernetes）為例，鑒于它已經(jīng)成為云原生編排的事實標(biāo)準(zhǔn)，因此攜手K8S進(jìn)入邊緣將很有可能結(jié)束邊緣計算當(dāng)前混沌的狀態(tài)，并定義云端和邊緣統(tǒng)一的應(yīng)用部署和管理的標(biāo)準(zhǔn)。Part02

5G邊緣容器云安全威脅容器全生命周期的重點安全問題容器全生命周期的重點安全問題在容器的全生命周期：注重“配置安全”在項目構(gòu)建時：注重鏡像安全在容器的運行環(huán)境：注重“計算”“網(wǎng)絡(luò)”“存儲”以及“應(yīng)用”等方面的安全問題鏡像安全

容器安全網(wǎng)絡(luò)安全存儲安全應(yīng)用安全配置安全鏡像安全問題鏡像安全問題根據(jù)根據(jù)Sysdig《2019年度容器使用報告》介紹，在用戶的生產(chǎn)環(huán)境中，有40%的鏡像來源于公開的鏡像倉庫。鏡像的漏洞問題十分突出，連續(xù)5天對應(yīng)用到生產(chǎn)環(huán)境中的鏡像進(jìn)行漏洞掃描，通過率僅為48%。鏡像安全問題的維度可包括：鏡像中的操作系統(tǒng)軟件包與應(yīng)用程序依賴項的已知CVE漏洞鏡像的容器目錄被植入Webshell鏡像被植入二進(jìn)制病毒、木馬、后門鏡像敏感信息泄露鏡像完整性問題配置安全問題配置安全問題安全配置規(guī)范在鏡像、容器、Docker、K8S、宿主機的落實情況并不是很理想。配置安全問題貫穿容器全生命周期。資產(chǎn)典型的配置安全問題鏡像憑據(jù)泄露、敏感信息泄露容器以特權(quán)模式運行容器DockerDockerRemoteAPI未授權(quán)訪問（2375端口）K8SK8SAPIServer未授權(quán)訪問（8080、6443端口）宿主機未修復(fù)內(nèi)核漏洞容器運行時安全問題容器運行時安全問題Docker容器安全問題的核心：Docker容器與宿主機共用內(nèi)核，并且在內(nèi)核層面的隔離性不足。縱向威脅“容器逃逸”是容器安全風(fēng)險中最具代表性的高風(fēng)險安全問題。攻擊者可通過利用漏洞“逃逸”出自身擁有的權(quán)限，實現(xiàn)對宿主機或者宿主機上其他容

1容器編排應(yīng)用的漏洞2用戶的不安全配置3操作系統(tǒng)的內(nèi)核漏洞4Docker5 Docker注：容器逃逸攻擊往是一系列以“權(quán)限提升”為目的的攻擊步驟的組合。Sysdig統(tǒng)計的“運行時安全威脅Top10”正是攻擊者常用的攻擊步驟。它們是：寫/etc目錄、寫/root目錄、創(chuàng)建特權(quán)容器、更改線程命名空間、創(chuàng)建掛載敏感目錄的容器、獲取sudo權(quán)限、嘗試在二進(jìn)制目錄下寫文件、異常運行shell、系統(tǒng)程序處理網(wǎng)絡(luò)行為、shell登入容器。1橫向威脅由攻擊者可利用被攻擊方在做“鏡像運行控制”時的不安全操作發(fā)起DDoS類型的攻擊。不安全操作的影響面包含但不限于。3

內(nèi)存配額未被限制2 CPU存儲空間配額未被限制容器網(wǎng)絡(luò)安全問題容器網(wǎng)絡(luò)安全問題1212如ARP欺騙、嗅探、廣播風(fēng)暴（在默認(rèn)情況下，同一臺宿主機下的容器是處于同一個子網(wǎng)的；在同一臺主機上部署多個容器時，應(yīng)合理配置網(wǎng)絡(luò)）Docker缺陷架構(gòu)與安全機制紕漏攻擊者若控制了宿主機的一些容器（或者在公有云建立容器）可通過對宿主機或其他容器發(fā)起攻擊、產(chǎn)生影響。3微服務(wù)架構(gòu)應(yīng)用安全問題3Docker被廣泛應(yīng)用于微服務(wù)架構(gòu)的Web應(yīng)用，應(yīng)關(guān)注這一組織形式的Web應(yīng)用的安全問題。應(yīng)用安全問題應(yīng)用安全問題針對物理機、虛擬機、云主機等環(huán)境的許多攻擊手段對于容器環(huán)境依然有效APPAPP攻擊者

WebshellRCE0day……

容器逃逸APP容器APP橫向滲透

宿主機

APPAPPAPPAPP APPAPPAPP集群5GEdge-CloudPart03

5G邊緣容器云安全解決方案整體思路：容器的全生命周期安全+應(yīng)用安全構(gòu)建 部署 運行構(gòu)建歷史

Host鏡像漏洞病毒木馬Webshell敏感信息受信鏡像

CI/CDRegistry

鏡像倉庫訪問控制信任倉庫

鏡像運行控制

病毒木馬逃逸風(fēng)險網(wǎng)頁后門異常命令文件異常行為異常進(jìn)程反彈shell

容器到容器容器到容器容器到主機網(wǎng)絡(luò)拓?fù)滠浖M(jìn)程數(shù)據(jù)庫web中間件...

集群部署

授信節(jié)點安全配置審計日志

POD

流量監(jiān)控訪問策略網(wǎng)絡(luò)攻擊鏡像安全 合規(guī)安

運行環(huán)境

運行時安全

集群審計

容器網(wǎng)絡(luò)安全

應(yīng)用安全資產(chǎn)清點5G邊緣云容器安全系統(tǒng)功能資產(chǎn)采集1 2容器、鏡像、鏡像倉庫、主機、POD等基礎(chǔ)資產(chǎn)信息，并支持對容器的進(jìn)程、端口、數(shù)據(jù)庫和web容器的采集。合規(guī)基線

鏡像安全掃描鏡像掃描包括系統(tǒng)漏洞、病毒木馬、webshell、敏感文件泄露等鏡像風(fēng)險問題。3 容器運行時安全基于CIS的Docker、Kubernetes 7安全基線。宿主機安全

平行特權(quán)容器+主機Agent4

實時發(fā)現(xiàn)容器運行時存在的惡意進(jìn)程、反彈外聯(lián)、惡意命令執(zhí)行和惡意文件操作行為、容器逃逸行為、暴力破解等。結(jié)合主機安全輕量化Agent，對宿主機進(jìn)行 6安全檢測、監(jiān)測和防護(hù)。包括宿主機漏洞風(fēng)險的掃描發(fā)現(xiàn)，宿主機入侵威脅實時監(jiān)測，并對宿主機的資源、性能進(jìn)行監(jiān)控，提供對宿主機的合規(guī)基線

5應(yīng)用安全

容器網(wǎng)絡(luò)安全容器以及容器應(yīng)用的安全隔離，支持“容器網(wǎng)絡(luò)拓?fù)洹钡目梢暬吧删W(wǎng)絡(luò)策略”的自動化。支持對受保護(hù)容器前置“容器版的WAF”支持自動檢測服務(wù)以及API，做到接口級的防護(hù)部署方案：平行容器部署方案：平行容器RootFSAppBin/LibRootFSAppBin/LibRootFSAppBin/LibHost監(jiān)控服務(wù)主機監(jiān)控及防護(hù)服務(wù)主機體檢服務(wù)云端通信及配置文件服務(wù)插件中心服務(wù)守護(hù)進(jìn)程以及配置的監(jiān)控服務(wù)升級中心服務(wù)平行容器特點管理。提高客戶環(huán)境自身對該客戶端的運維簡便度不侵入客戶環(huán)境的情況下依然可以提供服務(wù)性能上容器本質(zhì)上是一種受限的進(jìn)程，在沒有cgroup限制的情況下，可以利用到宿主機所有的計算資組件的啟動源組件的啟動容器安全+主機安全Agent聯(lián)動資產(chǎn)采集資產(chǎn)采集通過與宿主機Dockerdemon與鏡像倉庫API交互，實現(xiàn)高效的鏡像掃描；提供容器環(huán)境中的基礎(chǔ)資產(chǎn)（如鏡像、POD）、配置資產(chǎn)（如進(jìn)程、端口）以及應(yīng)用資產(chǎn)配置資產(chǎn)進(jìn)程配置資產(chǎn)進(jìn)程配置信息環(huán)境變量掛載信息端口基礎(chǔ)資產(chǎn)鏡像基礎(chǔ)資產(chǎn)鏡像主機鏡像倉庫容器POD應(yīng)用資產(chǎn)軟件應(yīng)用數(shù)據(jù)庫中間件站點容器API鏡像安全掃描鏡像安全掃描倉庫鏡像病毒木馬檢測模塊通過對鏡像發(fā)起掃描，發(fā)現(xiàn)鏡像存在的系統(tǒng)漏洞、病毒木馬、webshell、敏感文件泄露等鏡像風(fēng)險問題，確保鏡像在分發(fā)上線前安全可信。倉庫鏡像病毒木馬檢測模塊 拆包 本地鏡像Webshell檢測模塊可疑歷史、敏感信息、軟件版本解析模塊覆蓋構(gòu)建（Build）、分發(fā)（Ship）和運行（Run）的全生命周期鏡像安全檢查鏡像運行阻斷鏡像運行阻斷阻斷包含禁止軟件鏡像阻斷特權(quán)模式鏡像阻斷包含禁止軟件鏡像阻斷特權(quán)模式鏡像阻斷包含漏洞等級、CVE號鏡像阻斷存在病毒木馬、可疑歷史鏡像阻斷非信任鏡像阻斷非信任倉庫拉取鏡像鏡像白名單鏡像阻斷檢測運行合規(guī)不合規(guī)鏡像運行失敗阻斷容器運行時安全容器運行時安全采用即時掃描和實時監(jiān)控兩種模式對容器運行時進(jìn)行入侵行為檢測。在“即時掃描”方面，可支持病毒木馬檢測與webshell查殺；在“實時監(jiān)控”方面，可支持命令、進(jìn)程、文件等方面的異常檢測，可支持基于用戶不安全配置、Docker runC、“臟牛漏洞”、進(jìn)程提權(quán)等方面的容器逃逸攻擊；自學(xué)習(xí)此外，該功能模塊還支持通過自學(xué)習(xí)建立容器的可信進(jìn)程白名單。自學(xué)習(xí)入侵檢測模塊異常處理模塊逃逸檢測模塊病毒木馬、網(wǎng)頁后門、安全漏洞、反彈shell異常命令、文件異常行為、異常進(jìn)程入侵檢測模塊異常處理模塊逃逸檢測模塊病毒木馬、網(wǎng)頁后門、安全漏洞、反彈shell異常命令、文件異常行為、異常進(jìn)程容器逃逸風(fēng)險容器網(wǎng)絡(luò)安全容器網(wǎng)絡(luò)安全網(wǎng)絡(luò)策略連接繪制層網(wǎng)絡(luò)策略連接繪制層流量監(jiān)控5G邊緣云容器安全系統(tǒng)信息解析基于微隔離技術(shù)和K8S的網(wǎng)絡(luò)策略對容器以及容器應(yīng)用進(jìn)行“微服務(wù)”級的安全隔離與惡意流量檢測。在網(wǎng)絡(luò)隔離方面，該功能重視“容器網(wǎng)絡(luò)拓?fù)洹钡目梢暬c“生成網(wǎng)絡(luò)策略”的自動化。在惡意流量監(jiān)測方面，該功能模塊也同時支持對XSS攻擊和SQL注入等攻擊流量做檢測和阻斷。流量監(jiān)控5G邊緣云容器安全系統(tǒng)信息解析redisphpnginxredisphpnginxmysqlPOD1redisphpnginxredisphpnginxmysqlPOD2應(yīng)用安全應(yīng)用安全針對5G對于5G邊緣云中的容器，可通過部署Agent容器對服務(wù)以及API做檢測，接著提供接口級以及WAF容器容器WAF容器容器宿主機APPAPPAgent容器集群5GAPPAPPAPPAPP攻擊者宿主機安全宿主機安全結(jié)合主機安全輕量化Agent，對宿主機進(jìn)行安全檢測、監(jiān)測和防護(hù)。包括宿主機漏洞風(fēng)險的掃描發(fā)現(xiàn)，宿主機入侵威脅實時監(jiān)測，并對宿主機的資源、性能進(jìn)行監(jiān)控，提供對宿主機的合規(guī)基線檢查。事前高危響應(yīng)1、從安全運營角度對資產(chǎn)進(jìn)行清點和發(fā)現(xiàn)，實現(xiàn)檢測異常、風(fēng)險評估及關(guān)聯(lián)分析；2、以符合業(yè)務(wù)運營的視角對資產(chǎn)安全狀態(tài)進(jìn)行管理，共同維護(hù)資產(chǎn)信息的完整性和準(zhǔn)確性。

事中持續(xù)攻擊1攻擊行為分為了七個階段；2、通過理解和分析模型，構(gòu)建反殺傷鏈模型。

事后已被入侵1、梳理入侵分析、應(yīng)急響應(yīng)處并獲取了系統(tǒng)和設(shè)備權(quán)限，控制了內(nèi)網(wǎng)多個主要目標(biāo)；

彈性安全1、從發(fā)現(xiàn)、識別轉(zhuǎn)向快速響應(yīng)，最終形成閉環(huán)；2、增強應(yīng)急響應(yīng)與安全聯(lián)動合規(guī)基線合規(guī)基線構(gòu)建基于CIS的Docker、Kubernetes安全操作實踐檢查基線。可實現(xiàn)?鍵自動化檢測，提供可視化基線檢查結(jié)果和代碼級的修復(fù)建議。同時，結(jié)合企業(yè)個性化應(yīng)用場景，還可為用戶提供基線定制開發(fā)服務(wù)，以快速匹配各行業(yè)、各企業(yè)安全配置需求。基線模板Docker檢測Docker檢測Kubernetes檢測基線策略Kubernetes檢測基線檢查Part04

商業(yè)化落地產(chǎn)品可視的安全風(fēng)險可視的安全風(fēng)險產(chǎn)品破除了容器的封閉性，通過對容器相關(guān)資產(chǎn)：鏡像、容器、主機鏡像深度安全檢測，使得容器資產(chǎn)風(fēng)險一目了然，更加便于管理。深度的鏡像體檢深度的鏡像體檢基于10萬的CVE5萬的webshell庫、百萬級的病毒的危險操作存在泄密風(fēng)險容器運行時安全容器運行時安全Part05

應(yīng)用案例案例1：將解決方案應(yīng)用于5G邊緣云上的K8S集群K8S集群K8S集群Node1Noden……LinuxLinuxAgent防護(hù)容器Agent防護(hù)容器防護(hù)容器服務(wù)端Server容器引擎容器n容器1容器引擎容器n容器1案例2：5G邊緣云基礎(chǔ)設(shè)施安全+容器安全+應(yīng)用安全+態(tài)勢感知容器安全引擎宿主機容器

容器安全數(shù)據(jù)推送 態(tài)勢感知安全大數(shù)據(jù)分析入侵檢測異常處理鏡像阻斷`````聯(lián)動處置`````聯(lián)動處置監(jiān)控并防護(hù)用戶主機及容器安全

主機引擎

主機安全數(shù)據(jù)推送

態(tài)勢展示資產(chǎn)清點資產(chǎn)清點安全監(jiān)控合規(guī)檢查`````案例3：在5G邊緣云實施SECaaS，既可保護(hù)基礎(chǔ)設(shè)施，又可對外提供安全服務(wù)安全態(tài)勢感知應(yīng)急響應(yīng)

態(tài)勢層層防御，智能聯(lián)動，精準(zhǔn)攔截網(wǎng)絡(luò)層

網(wǎng)絡(luò)工作負(fù)載防御·防惡意掃描·防暴力破解·防網(wǎng)絡(luò)漏洞WEB工作負(fù)載防護(hù)攔Webshell·保護(hù)資源·RASP

容器集群系統(tǒng)層

主機工作負(fù)責(zé)防護(hù)攔病毒·防提權(quán)·可疑行為Part06

總結(jié)與展望總結(jié)與展望容器技術(shù)貼合5G邊緣云計算場景，發(fā)展前景廣闊，卻也