共计 2965 个字符,预计需要花费 8 分钟才能阅读完成。
容器平安问题导致企业数据被黑客擦除造成损失,曾经不是一次两次了。
就在前段时间,NewsBlur 的创始人 SamuelClay 在将 MongoDB 集群迁徙到 Docker 容器过程中,一名黑客取得了 NewsBlur 数据库的拜访权限,删除掉了 250GB 的原始数据,并要求他领取 0.03 BTC 的赎金。
同类性质的问题,早在 2014 年就有开发者以“严重错误”反馈给了 Docker 公司,但始终没有失去解决。随着越来越多的用户采纳容器技术构建业务,容器和容器编排平台的安全漏洞也一直被黑客开掘进去,容器平安成为用户采纳容器技术构建业务过程中必须要思考的问题。
从计算的倒退简史来看,每一次 IT 技术的演进带来的不仅是效率的晋升,也有新的平安挑战。目前,咱们处于第三次浪潮的疾速倒退期间,以云和容器技术为主。尽管容器使用率越来越高,然而相干平安建设却处于落后阶段。基于云原生场景下的容器云,面对疾速开发和部署的迫切需要,原有的边界传统平安保障显得力不从心,受到极大挑战。
原生为云而设计,容器成交付规范
云原生(CloudNative)是一个组合词,蕴含 Cloud 和 Native 两局部,Cloud 示意应用程序位于云中,而不是传统的数据中心;Native 示意应用程序从设计之初即思考到云的环境,原生为云而设计,在云上运行,充分利用和施展云平台的弹性 + 分布式劣势。
Pivotal 公司的 Matt Stine 于 2013 年首次提出云原生(CloudNative)的概念;2015 年,云原生刚推广时,Matt Stine 在《迁徙到云原生架构》一书中定义了合乎云原生架构的几个特色:12 因素、微服务、自麻利架构、基于 API 合作、抗脆弱性,2017 年又将云原生架构演绎为模块化、可察看、可部署、可测试、可替换、可解决 6 特质。而 Pivotal 最新官网对云原生概括为 4 个要点:DevOps+ 继续交付 + 微服务 + 容器。
2015 年云原生计算基金会(CNCF)成立,CNCF 最后把云原生定义为包含:容器化封装 + 自动化治理 + 面向微服务;到了 2018 年,CNCF 又更新了云原生的定义,把服务网格 (Service Mesh) 和申明式 API 加了进来。
云原生架构的疾速遍及带来了企业基础设施和利用架构等技术层面的变革。在 CNCF 2020 年度的调研报告中,68% 的机构在生产过程中应用容器。生产中应用 Kubernetes 的比例曾经增长到了 82%。容器曾经成为云原生利用交付的规范,在中国,kubernetes 曾经成为约定俗成的容器编排工具。
云原生场景下的容器平安挑战
面对疾速开发和部署的迫切需要,基于边界的传统平安保障显得力不从心。传统平安办法偏重于对边界进行爱护,而更简单的云原生利用则偏向于辨认动静工作负载中的属性和元数据来进行爱护,这样能力为利用的模式转换保驾护航。这种形式能对工作负载进行辨认和爱护,以此适应云原生利用的规模扩大以及疾速变动的须要。模式的转变要求应用面向平安的架构设计(例如零信赖),并在利用平安生命周期中采纳更多的自动化办法。并且,传统畛域的平安问题在云环境下依然存在,比方破绽利用、病毒木马、DDOS 攻打、数据泄露、外部越权等。在云原生架构下的多租户、轻量级隔离、疾速弹性伸缩等特点,也对传统平安提出新的挑战。
1、不平安的镜像:镜像是一个蕴含利用 / 服务运行所必须的操作系统和利用文件的汇合,用于创立一个或多个容器,它们之间紧密联系,镜像的安全性将会影响容器平安。依据镜像创立和应用形式,通常有三个因素影响镜像平安:
a、根底镜像不平安:镜像通常是开发者基于某个根底镜像创立的,无论是攻击者上传的歹意镜像,还是现有镜像存在的平安缺点,基于它创立的镜像都将会是不平安的。
b、应用蕴含破绽的软件:开发者常常会应用软件库的代码或软件,如果它们存在破绽或恶意代码,一旦被制作成镜像,也将会影响容器的平安。
c、镜像被篡改:容器镜像在存储和应用的过程中,可能被篡改,如被植入恶意程序和批改内容。一旦应用被歹意篡改的镜像创立容器后,将会影响容器和应用程序的平安。
2、容器技术危险:容器隔离依赖于 Linux 内核 namespaces 和 cgroups 等个性,从攻击者的角度登程,能够利用内核系统漏洞,容器运行时组件和容器利用部署配置等多个维度发动针对性的逃逸和越权攻打。K8s、Docker 等开源软件近年来也相继爆出不少的高危破绽,这都给攻击者提供了可乘之机。
3、东西向流量防护:传统的企业应用平安模型通常基于外部架构不同的信赖域来划分对应的平安边界,在信赖域内的东西向服务交互被认为是平安的。而上云后企业应用须要在 IDC 和云上部署和交互,在物理平安边界隐没后,如何在零信赖的网络安全模型下构建企业级容器平安体系是云服务商须要解决的重要问题。以 Docker 环境为例,它反对 Bridge、Overlay 和 Macvlan 等网络,只管实现形式不同,但有一个独特和广泛的问题:如果容器之间未进行无效隔离和管制,则一旦攻击者管制某台主机或某台容器,能够以此为跳板,攻打同主机或不同主机上的其余容器,也就是常提到的“东西向攻打”,甚至有可能造成拒绝服务攻打。
4、访问控制:因为云环境的特殊性,云原生架构下的数据泄露危险远远大于传统环境。因而,须要充分利用云原生架构下的认证受权体系,联合利用本身的权限管制,严格遵循最小权限法令配置云上资源的访问控制和容器利用的权限。例如,如非必要尽量避免应用特权容器。
谐云容器平安解决方案
浙大 SEL 实验室自 2011 年开始在 PaaS 技术层面的开展钻研,并于 2015 年作为高校代表以开创会员的身份和 google 一起创立了 CNCF 组织。起源于浙大 SEL 实验室的谐云从成立起,就致力于助力企业落地云原生技术,依据 10 多年的云原生我的项目技术落地教训,提出了云原生时代下的容器平安解决方案。为了更好地应答容器化过程中的平安挑战,谐云认为企业的容器平安该当做到动静防护,笼罩容器全生命周期。
基础设施平安:容器构建于云平台之上,云平台的平安是容器平安的根底。谐云科技在多年容器运维教训的根底上,联合社区,造成了一套欠缺的容器与主机最优化基线配置,保障服务组件的默认安全性。
供应链平安:将 DevSecOps 观点纳入交付流程,实现平安左移。在镜像构建阶段,进行镜像破绽扫描,病毒木马扫描,webshell 检测。同时进行镜像签名,确保进入镜像仓库的镜像平安,散发和部署中的镜像不被篡改。
运行时平安:将已知攻打伎俩退出容器行为黑名单,建设默认防护规定。并在 CI\CD 过程中,通过自学习造成容器行为基线,并生产环境进行防护,拦挡基线以外的零碎调用、可执行文件的执行。
利用平安:以 BPF 技术和 sidecar 注入两种形式,实现七层容器网络防火墙,可检测和阻止诸如 xss、sql 注入等威逼,同时联合 AI 进行利用画像,利用基于 EBPF 的旁路监听伎俩,主动学习容器拜访关系拓扑,实现东西向流量可视化,辨认网络连接平安危险,提供齐备的容器网络微隔离计划。
同时,谐云容器平安平台反对多集群治理计划,管制立体与探针 agent 全面容器化,最大化利用容器资源与弹性伸缩个性。
平安是企业上云的首要要害,将来,谐云会通过更加欠缺的技术手段和产品布局,帮忙用户全面解决云原生落地过程中的平安问题,减速企业数字化转型,携手拥抱云原生。