9个容器环境安全红队常用手法总结.pdfVIP

9个容器环境安全红队常⽤⼿法总结 公众号关注 「奇妙的 Linux 世界」 设为「星标」，每天带你玩转 Linux ！ 编者注：本⽂仅供学习研究，严禁从事⾮法活动，任何后果由使⽤者本⼈负责。 引⾔ 随着云原⽣的⽕热，容器及容器编排平台的安全也受到了⾏业关注，Gartner在近期发布的《K8s安全防护指导框架》中给出K8s安全的8 个攻击⾯，总结如下： 镜像相关： 1. 镜像仓库安全 2. 容器镜像安全 K8S组件相关： 3.API Server 4.Controller Manager 5.Etcd 6.Kubelet 7.Kube-proxy 运⾏时安全： 8.Pod内攻 9.容器逃逸 我们针对其中常见的红队攻击⼿法进⾏了复现与总结。 ⼀、概念简介 简单来说，容器是⼀种轻量级的应⽤及其运⾏环境打包技术，还包含依赖项，例如编程语⾔运⾏时的特定版本和运⾏软件服务所需的库。容 器⽀持在操作系统级别轻松共享 CPU、内存、存储空间和⽹络资源，并提供了⼀种逻辑打包机制，以这种机制打包的应⽤可以脱离其实际 运⾏的环境。⽬前，Docker是使⽤最⼴泛的⼀种容器技术。 在开发、运维过程中，容器需要进⾏部署、管理、扩展和联⽹等操作，这就引⼊了⼀个新的概念，容器的编排。 容器编排是指⾃动化容器的部署、管理、扩展和联⽹。容器编排可以为需要部署和管理成百上千个容器和主机的企业提供便利。 容器编排可以在使⽤容器的任何环境中使⽤。这可以帮助在不同环境中部署相同的应⽤，⽽⽆需重新设计。通过将微服务放⼊容器，就能更 加轻松地编排各种服务（包括存储、⽹络和安全防护）。 容器编排⼯具提供了⽤于⼤规模管理容器和微服务架构的框架。容器⽣命周期的管理有许多容器编排⼯具可⽤。⼀些常见的⽅案包括： Kubernetes、Docker Swarm 和 Apache Mesos。其中，⽬前使⽤最⼴的为 Kubernetes。 Kubernetes简称K8S，是 Google于2014年开源的容器编排调度管理平台。相⽐与Swarm、Mesos等平台简化了容器调度与管理，是⽬ 前最流⾏的容器编排平台，K8S主要功能如下： 1）容器调度管理：基于调度算法与策略将容器调度到对应的节点上运⾏。 2）服务发现与负载均衡：通过域名、VIP对外提供容器服务，提供访问流量负载均衡。 3）弹性扩展：定义期待的容器状态与资源，K8S⾃动检测、创建、删除实例和配置以满⾜要求。 4）⾃动恢复与回滚：提供健康检查，⾃动重启、迁移、替换或回滚运⾏失败或没响应的容器，保障服务可⽤性。 5）K8S对象管理：涉及应⽤编排与管理、配置、秘钥等、监控与⽇志等。 6）资源管理：对容器使⽤的⽹络、存储、GPU等资源进⾏管理。 ⼆、容器安全机制 每个基础软件服务都存在安全风险，容器也不例外，其⾃⾝为控制安全问题的发⽣，有着⾃⼰的安全机制，在此以 Docker 为例，简单讲述 容器的安全机制。 Docker 根据 Linux 系统的⼀些特性，引⼊了多种安全机制，包含 seccomp、capability、Apparmor等。 Seccomp seccomp 是 Linux kernel 从2.6.23版本引⼊的⼀种简洁的 sandboxing 机制。 seccomp安全机制能使⼀个进程进⼊到⼀种“安全”运⾏模式，该模式下的进程只能调⽤4种系统调⽤（system call），即 read(), write(), exit() 和 sigreturn()，否则进程便会被终⽌。 Seccomp 简单来说就是⼀个⽩名单，每个进程进⾏系统调⽤的时候，内核都会检查对应的⽩名单来确认该进程是否有权限使⽤这个系统调 ⽤。 Linux capability Capability 机制是 Linux 内核 2.2 之后引⼊的。本质上是将 root ⽤户的权限细分为不同的领域，可以分别的启⽤或者禁⽤。Docker 默认 开启了14种capability，对容器内部 root权限进⾏了⼀系列限制。 Apparmor AppArmor 是 Linux 内核的⼀个安全模块，通过它可以指定程序是否可以读、写或者运⾏哪些⽂件，是否可以打开⽹络端⼝等。若可执⾏ ⽂件的路径为 /home/ubuntu/run，使⽤ Apparmor 对其进⾏访问控制，需要在配置⽂件⽬录 /etc/apparmor.d 下新建⼀个名为 home.ubuntu.run 的⽂件，若修改 run 的⽂件名，配置⽂件将失效。