|
云原生安全挑战
云原生是以容器、微服务、DevOps、不可变的基础设施等技术为基础建立的一套云技术产品体系。这种颠覆性技术发展的同时, 也带来了对安全的诸多挑战。
技术挑战
云原生引入了大量新的基础设施,安全防护对象发生了颠覆性变化,容器以及容 器云逐渐成为工作负载的主流,容器带来了新的技术,比如镜像的使用和管理、 编排工具——K8S,OpenShift等。新技术带来新的安全防护对象,需要引入新的 安全手段
组织挑战
云原生的技术框架背后,是组织协作方式的变革。它采用 DevOps 的方式进行快 速的开发迭代,进行快速的持续交付。而传统安全工作主要负责线上运行服务的 安全,无法适配新的开发节奏和安全要求。安全职责需要重新考虑,责任主体从 开发、运维、安全的各司其职,转变成责任共担。
新技术,新风险
新的技术引入了新的安全防护对象,也带来了新的安全挑战
镜像风险
镜像管理风险
•企业应不允许镜像从公网仓库直接拉取
• 企业应构建和维护基础镜像,并确保所有 的应用均来源于基础镜像 镜像来源的管控。
镜像安全风险
•镜像构建中使用了不安全的软件应用,使用 了不合规配置,如配置敏感信息等
• 镜像被恶意植入木马病毒、被上传恶意镜像
仓库安全问题
• Harbor 1.7.0-1.8.2 版本存在垂直越权漏洞。攻击者可以通 过注册管理员账号来接管Harbor镜像仓库,从而写入恶意镜 像,最终可以感染使用此仓库的客户端
基础设施风险
集群环境引入了k8s编排作为基础设施,新的基础设施带来了新的攻击手段
新的攻击目标
集群的 Master API Server 就像域控制器一 样,拿下它,即可拿下集群下所有资源的管理 权限
新的脆弱面
集群和docker本身的不安全配置和漏洞问题,是 新的基础设施使用时非常容易忽视的点。
新的攻击手段
利用集群和docker本身的特点进行攻击行为,是新型 的攻击手段,如容器逃逸。
微服务风险
微服务引起暴露面增加
随着微服务的增多,暴露的端口数量也急剧 增加,进而扩大了攻击面
服务认证授权机制不当
微服务间的相互认证授权机制更为复杂,人为因素导致 认证授权配置错误成为了一大未知风险
微服务框架漏洞
微服务治理框架采用了大量开源组件,比如Spring Cloud、Dubbo等,会引入框架自身的漏洞以及开源 治理的风险
网络风险
k8s中的网络是一个平面网络,默认情况下,k8s中的资源不会被自动隔离,资源之间可以随意相互访问。
横向移动方式
1、通过容器攻击其他容器
获取容器控制权后,可通过nmap等网络探测方式发现可访问的容器端口
2、通过容器攻击宿主机
若docker、containerd等存在逃逸漏洞,可利用此漏洞获取宿主机的控制权
3、通过容器攻击集群
若k8s存在8080、6443未授权访问,可通过容器访问k8s master api进行恶意调用
运行风险
与物理机、虚拟机、云主机等环境一样,基于业务的入侵手段在容器环境中依然有效。
上传一个 webshell
利用低于4.5.2版本的 Wordpress 的 ImageMagic (CVE-2016-3714) 漏洞,向web目录中写入一个 webshell
获取容器控制权
该webshell执行bash反向连接命 令,当该命令被执行时黑客监控 连接端口,获取容器控制权
获取宿主机操作权限
如果该容器运行为特权容器,或者 宿主机内核存在提权漏洞,则黑客 入侵到该容器后,即可逃逸到宿主 机,进而可以获取宿主机上的所有 容器的权限
容器逃逸
容器的「逃逸问题」,直接影响到了承载容器的底层基础设施的保密性、完整性和可用性
传统安全防护手段的不足
传统安全防护方法,无法深入识别到容器中安全问题。
防火墙
容器内东西向的流量暴增,而传统 防火墙主要是为了南北向业务模型 设计的,无法细粒度管理到容器环 境如此海量和复杂的业务。
终端安全
传统的终端安全产品仅仅对OS一层 有效,无法深入识别容器内的安全 问题。
漏洞扫描
容器镜像分层存储,传统的漏洞扫 描仅仅在OS和网络进行扫描,无法 对容器镜像进行扫描。
安全管理
DevOps模式下,流程全自动化,安 全由谁发起,安全如何自动化管 控,均给企业安全管理带来了极大 的挑战
产品功能架构
蜂巢提供覆盖容器全生命周期的一站式容器安全解决方案,实现了容器安全预测、防御、检测和响应的安全闭环。
安全左移 安全左移的核心是做安全管理,在实际落地的时候通过在软件生产过程中进行安全卡点来实现,同时还要以“准入”和“准出” 来进行安全管控。
镜像安全检查
镜像安全问题全方位检测
• 安全补丁:5w+ 的安全补丁库,提供有价值、可修复的安全漏洞
• 组件漏洞:四大应用组件漏洞,Python、Nodejs、Ruby、Php
• 木马病毒:五大检测引擎,发现镜像中的病毒、挖矿、web后门
• 敏感信息:深入发现敏感信息,如ssh-key、环境变量中的用户密码 镜像合规检查,规范镜像构建过程
• 构建文件检查:是否使用root、tag命名是否规范、是否缺少健康检查
• 开源license检查:license使用是否合规
• 软件应用检查:是否使用了不允许的软件应用
• 基础镜像识别:发现未使用基础镜像构建的业务镜像 X86、ARM 架构镜像全栈适配
• 支持 Oracle、Fedora、OpenSUSE、Ubuntu、Debian、Photon OS、 Alpine等主流镜像OS,同时X86/ARM架构全栈适配
镜像安全能力集成
蜂巢提供将安全检查的能力以API、插件的形式集成到生产流程中去,打破开发运维和安全的人员之间的信息差
容器运行风险
通过对运行的容器进行检查,发现镜像中运行的应用漏洞、应用弱口令等问题。
基础设施安全
支持对集群组件进行安全检测 包括master api、kubelet、docker、runc、containerd、harbor等集群组件
覆盖docker、k8s等共30+高危漏洞 K8s未授权访问漏洞、Docker runc容器逃逸漏洞(CVE-2021-30465)、 Harbor接口未授权访问漏洞(CVE-2020-29662)
容器漏洞研究分析干货十足
针对每一个漏洞,特别是逃逸漏洞,我们的漏洞研究包括详细的漏洞复现、 原理说明、POC、修复建议等。用户可以根据此漏洞分析全方面学习了解该漏 洞是否容易利用、是否危险,是否在企业环境中存在,以此来评估企业面对 此漏洞的处理对策
微服务安全
单体应用拆分成多个微服务导致端口数量暴增,攻击面大幅增加,连锁攻破风险较高。因此,我们需要在安全测试阶段,对微 服务进行漏洞扫描,发现微服务漏洞、修复漏洞、阻止风险传播。
合规基线
构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业完善&实施容器合规规范。
150+检查项、集群对象全覆盖 能够覆盖集群内全部的检查对象:包括k8s master、k8s worker、docker engine、container、image、集群资源对象
基线任务式管理,一键下发 基线采用任务检查方式,用户可灵活针对不同检查对象、不 同业务系统设置灵活的检查任务,以适应复杂的企业环境
基线规则灵活自定义 支持对基线模版、基线检查项进行自定义,以满足不同行 业、不同企业多样化的管理规范
安全卡点-镜像运行控制
允许用户自定义规则,阻止不符合安全要求的镜像运行。
2. 安全可视
构建全景资产视图,进行持续监控与响应,实现集群风险可见、可控。 网络可视化:可视化工作负载间的访问关系,进一步了解业务之间的调用关系。 资产可视化:梳理云原生环境工作负载,帮助安全人员了解运行的容器、容器内运行的web应用、数据库应用等。
网络关系可视化
化繁为简,真正从业务视角展现访问关系,更方便运维/安全理解。
容器微隔离
蜂巢的微隔离策略,是原生自适应容器多变的环境的。通过对访问关系的梳理和学习,提供自适应的、自迁移的、自维护的网 络隔离策略,帮助用户快捷、安全地落地容器微隔离
提供业务视角的网络拓扑关系
• 基于实际业务的工作负载可视化展示容器间的访问行为 覆盖各种云原生场景的隔离策略
• 集群内网络隔离:可设置基于租户、namespace、label、 controller、IP/CIDR、镜像的隔离策略
• 集群间网络隔离:可设置集群与集群、集群与非集群之间的 隔离策略
• 纯容器场景的隔离策略 提供“告警”模式,让用户放心设置策略
• 针对工作负载提供“仅告警”业务模式。不下发实际的隔离 策略,而是通过模拟下发的情况,当发现偏离策略的行为则 进行告警提示
资产可视化
资产自动化盘点
监控各类资产变化事件,实时上报容器资产
资产实时上报
持续监控资产变化,实时上报,确保资产与实际环境一致无偏差
覆盖资产种类全
覆盖k8s、容器、容器内应用3大类工作负载,15类资产类型,支持 1500+业务应用识别
资产识别粒度细
对每类资产进行了深入分析,获取资产相关的各项高价值的安全数据。例如web站点,深入识别站点类型、域名、用户、站点目录等信息
资产可视化
资产立体化呈现,清晰了解风险影响范围
清楚的梳理业务中有多少个集群,集群中有多少命名空间和控制器,运 行了多少容器,是由什么镜像运行起来的,容器具体跑了哪些进程,监 听了哪些端口。遇到入侵事件的时候,能够很清晰的知道失陷位置,以 及可能覆盖的影响范围
通过梳理资产,进行软件治理
通过对运行的哪些应用、中间件以及数据库进行清点,发现其安 装路径,版本信息和配置情况,形成清晰的应用资产台账,帮助 企业更好地去落地应用的治理
3.安全感知
采用多锚点的分析方法,实时检测容器中的已知威胁、恶意行为、异常事件
基于引擎检测
利用青藤五大检测引擎,实时发现容器中的病毒、挖矿、webshell等已知威胁
雷火·AI-Webshell 检测引擎
病毒木马多检测引擎
恶意行为检测 提供多锚点的基于行为的检测能力,能够实时、准确地感知入侵事件,发现失陷容器。
异常检测
容器运行时的行为模式相对固定,蜂巢通过对其进程、网络、文件行为进行学习、建立稳定的容器模型,进而针对不符合模型 的行为进行监控告警,从而发现未知的入侵威胁。
安全响应
检测到异常入侵事件之后,对于失陷容器,提供快速进行安全响应,把损失降到最低。
4: 安全融合
容器安全与其他安全产品的融合联动 , 建设全方位一体化融合的安全体系,增强云原生安全防护能力。
客户案例
某移动
部署规模
某省移动项目建设于2020年,2020年9月-12月为测试阶段,独立部署模式,部署2.3W点,两个生产,一个测试,共计3套环境,容器数量10W+, 区域全覆盖:包含3域,B/O/M全覆盖 业务主要覆盖:网厅、PBOS、BOS全覆盖 办公网:OA、订单系统、财务等全面覆盖
项目情况
某省移动已有大规模的业务上了容器,但是容器环境中并没有安全防护,同时节点上的主机层也没有安全防护。客户希望能一套环境解决节点和容器上的安 全问题,重点关注容器中的资产梳理、风险发现和入侵的检测能力。
客户收益
• 使用超融合部署模式,实现一个服务端,一个Agent,同时防护主机&容器的安全问题,实现主机和容器安全集中管理。
• 资产梳理:帮助客户梳理清楚主机和容器的基础资产,应用资产,协助用户实现主机容器资产的深度治理。
• 风险发现:持续全面监控主机和容器风险,实现风险早发现,早治理,减少风险暴露面
• 入侵检测:帮助用户在护网演练以及日常业务运行中实时感知安全事件,快速响应处理。
• 数据对接:主机、容器中日志接入云上ES,用于入侵溯源分析使用;对接告警平台,实现主机、容器告警信息集中管理。
某电信
价值体现:
1、主机及容器资产可视和集中管理。
2、主机和容器风险持续发现,漏洞和弱密码风险能够早发现,早治理。
3、入侵事件实时精准感知,提升了主机和容器侧安全事件快速响应能力。
4、合规检测帮助构建主机和容器安全合规能力,确保业务变化合规跟随。
护网价值:
1、基于资产清点能力针对僵尸资产,僵尸账号以及多余端口进行清理。
2、基于风险发现,护网前期以及护网期间针对发下你的漏洞和弱密码风险及时修复,减少风险攻 击面。
3、基于入侵检测,护网期间针对存在的入侵残留进行清理。
|
