运行在云平台上的容器产品,由于拥有完善的可移植应用环境,可以帮助用户轻松完成应用的切换控制,提高应用的敏捷性,同时时间节省企业的IT建设成本。在巨大优势的影响下,2021年容器产品采用率再创新高,容器编排引擎工具使用量持续攀升。同时,容器也面临着更大的安全风险。常见的容器安全风险根据红帽的调查数据,94%的受访者在过去12个月内遇到过Kubernetes安全事件。Akamai前几天也做了一个实验,使用一个简单的Docker容器蜜罐进行攻击测试。结果显示,该容器在24小时内被攻击者用于四次不同的犯罪活动。这些攻击的目的各不相同:一种攻击试图使用容器作为代理来访问数据流或其他服务,另一种攻击试图用僵尸网络感染目标,另一种攻击进行加密货币挖矿,最后一种尝试是使用容器来欺骗家庭办公用户.研究发现,利润仍然是网络犯罪分子攻击容器的主要动机。犯罪分子试图获取可以从中获利的资源或数据。CPU时间和带宽等资源可以出售给其他犯罪分子用于地下服务,甚至可以直接用于挖掘加密货币,这些动机在使用容器的环境中比比皆是。风险一:错误配置影响容器安全的因素有很多,但错误配置是最常见的原因。根据Gartner最近的一项分析,到2025年,超过99%的云安全事件的根本原因将是用户配置错误或配置错误。容器通常在非常动态的环境中大量部署,访问、网络和其他设置的错误配置可能为网络犯罪分子提供利用机会。另外,很多公司在配置容器时通常会选择默认的配置设置,无法充分利用更精细化的配置功能。远不如自定义设置安全的错误配置或默认配置方案可能会导致安全问题。误配置的问题不仅限于容器本身,容器编排引擎工具的误配置也需要引起重视。风险二:镜像感染除了配置错误,镜像感染是容器面临的另一大风险。图像由开源存储库提供,是伴随可执行代码的预制静态文件,这些代码在计算系统上创建容器以方便用户部署。攻击者可以通过植入恶意软件或在镜像中预装挖矿软件来破坏容器。用户部署这些镜像后,攻击者可以使用恶意软件访问受害者的资源。发生过很多这样的袭击。例如,2020年Containerd在运行过程中,暴露了一个工具漏洞,用于管理宿主系统容器的整个生命周期。该漏洞(CVE-2020-15157)存在于容器镜像拉取过程中,攻击者通过构建专用容器镜像成功实施攻击。风险三:漏洞攻击另外,影响容器安全的另一个因素就是漏洞。2021年,研究人员发现了多个容器漏洞,攻击者可以利用这些漏洞渗透公共云多租户容器即服务产品。尽管云提供商投入了大量资金保护云平台,但未知的零日漏洞层出不穷,容器面临的漏洞安全风险始终存在。容器安全防御最佳实践针对目前广泛使用的容器环境,企业需要具备数据分析能力,发现容器环境中的异常行为。下面总结了容器安全防护中采用的行之有效的实践经验,供大家参考:确保集群基础设施的补丁能够及时更新;定期修改容器运行参数,避免默认配置;使用强密码,并定期更改密码和权限;避免将特权服务帐户的令牌发送给API服务器以外的任何一方,以防止攻击者伪装成令牌所有者;启用“BoundServiceAccountTokenVolume”功能以最大限度地减少令牌盗窃的影响;部署一个策略执行器来监视和防止容器集群内的可疑活动,特别是查询SelfSubjectAccessReview或SelfSubjectRulesReviewAPI以获取权限服务帐户或节点;从信誉良好的来源拉取容器镜像,存储在安全的存储库中,使用可信证书签名和签名,从镜像存储库中删除过时的版本;评估编排系统的最低权限配置,确保持续集成/持续交付(CI/CD)中的移动得到验证、记录和监控;全面了解云应用程序环境以及传统IT基础设施面临的风险;部署可以对分析结果做出反应的数据分析工具和自动化操作手册;及时向安全操作人员提供容器操作数据,以便及时处理告警信息;在容器出口部署数据防泄露措施。参考链接:https://threatpost.com/container_threats_cloud_defend/179452/。
