云甲大揭秘|容器运行时安全威胁该如何突围

一、行为模型的意义

近年来，随着企业应用云原生业务越来越多，容器运行威胁也越发频繁，这给企业带来的负面影响越来越大。容器运行时安全成为企业及云原生安全的重点关注问题。容器运行时作为容器全生命周期核心，负责管理容器运行的全阶段。而介于云原生业务、编排机制之间的容器所具有的短生命周期特点也成为攻击者的新目标，并且传统应对长生命周期资产的手段便不再适用。与之相应的是，镜像这类持久化资产则成为攻击者的另一目标。

面对多重运行时的攻击威胁，安全狗基于云原生安全、安全左移等多个先进技术概念打造的云原生安全产品——云甲，即，容器全生命周期安全解决方案所落地的双模式检测方案能有效应对并解决。

在落地的云甲设计双模式检测方案中，一方面，针对已知威胁，建立特征准确、覆盖面广、更新及时的异常检测机制；针对未知威胁，研究发现镜像容器内进程文件等具有相似性、一致性。如攻击者尝试绕过进程白名单，致使某进程所在的文件路径与正常运行时不同。另一方面，即可通过建立行为模型，从业务运行期间的海量数据中识别出异常行为。

图1

通过对不同的运行时未知风险的深入分析，云甲研发团队研究出最佳运行时行为模型方案，即，从系统级别监测管控容器行为，客户端侧实时采集行为活动数据，生成行为日志。云端侧对上报数据分析、建模，通过联合威胁情报风险信息，识别容器异常行为。通过针对性分析，进而推送异常告警及安全策略，实现风险可视、可管、可控。采用建模系统、运行时监测系统、策略配置系统这三大系统，实现容器镜像集群行为风险的智能化检测与安全响应。

图2

建模系统作为行为模型最重要的环节，云甲遵循3项理念：自生成、可调整、聚合与复用。

云甲可通过行为模型进行状态跟踪，判断各类异常行为，发现隐藏的未知威胁；弥补只通过特征库检测已知风险的单面性，让威胁攻击无处遁形。实时数据跟踪：经过对容器内进程、文件、网络等活动数据实时采集、数据对比、数据存储等，实现运行时业务活动的实时监控，并形成行为审计日志，实现基于行为模型的异常行为分析、监控和异常上报等功能，以此达到及时发现威胁并预警效果。

为了应对运行时异常威胁的发现，云甲采用模型策略配置和响应策略配置两种方式达到及时的闭环响应处置目的，为运维人员提供及时、便捷的防护措施。通过事件研判上报、内容分析，可调整策略中的模型聚合、模型分离，从而实现容器模型、镜像模型不同场景下的画像调整；通过配置进程、文件、网络等行为活动的行为黑白名单响应操作包括不限于阻止异常进程、只读文件、网络端口访问限制等，配置自动处置策略，并且结合自动处置与威胁告警，增强安全事件的响应速度，从而形成风险闭环。

以上是安全狗云甲研发团队基于用户所面临的容器运行时威胁所做的云原生容器安全解决思路与落地经验分享。值得关注的是，安全狗近期所发布的云甲新版本中也具备了以上所提的功能。

后续云甲也将针对异常行为监控与判断、在不同场景下活动特征、模型构建算法等方面做进一步探索。希望为用户建立更科学合理的模型，更全面的威胁监控，以及编排化的快速响应支撑，助力国内云原生安全快速发展。