云原生安全案例分享|企业如何构建容器安全防护？

案例概要

该企业公开可用的容器镜像数量逐步增长，目前容器总数超过8000、镜像总数超过35000，单月从存储库中拉起的镜像最高达到10000次，在使用容器的过程中，暴露出容器的安全风险，包括容器基础设施自身的安全风险，以及上层应用云原生化改造后新增的安全风险。

图1

等级保护2.0中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。在等级保护整改过程中，面临着两大难点：

镜像防篡改：该企业实际使用中，会将镜像仓库作为软件源，因此，镜像仓库遭到入侵就会极大的增加容器和主机的入侵风险。如果在仓库账号及其权限的安全管理、镜像存储备份、传输加密、仓库访问记录与审计等存在加固或配置策略不足的问题，可能导致镜像仓库面临镜像被篡改等风险。例如，垂直越权漏洞，因注册模块对参数校验不严格，导致攻击者可以通过注册管理员账号来接管镜像仓库，从而篡改镜像，生成恶意镜像。

容器微隔离：该企业使用容器之后，东西向流量的交互更加频繁，当容器与容器之间、容器组与宿主机之间、容器网络之间没有微隔离管控，黑客就可以直接从高风险的容器中逃逸，跟随着东西向流量进行横向攻击，使入侵不断蔓延。

容器镜像资产变化快，传统安全工具难以清点：由于资产变化过快的特性，该企业使用的传统主机资产采集工具出现资产采集不全、误报漏报、耗时较长等问题，无法满足对容器的资产清点要求，容器资产清点成为了一个新的痛点。

容器和镜像防护缺失：容器无法做到精细化的隔离和管控，镜像本身无法判断是否安全；

内部主机安全管理责任模糊不清，当出现运行安全问题时，各部门其下资产模糊不清，出现推诿扯皮的情况。

新型威胁防护层出不穷：传统杀毒无法发现宿主机和容器的安全问题。

安全建设无可视化：内外部安全态势不可视，谁进来了不知道，是敌是友也不清楚，容器安全问题在哪里根本不明确。

自动化程度低，人员有限：总部与各分支安全能力不同，总部安全能力强，分支机构安全能力弱，使得总部需要承担大量的日常安全管理工作。

容器网络层不可视，容器网络层不能依据该企业的业务关系实现可视化的访问控制策略，带来了权限放大的风险，黑客可以在容器网络中访问宿主机的网络，利用相关漏洞获取操作系统的访问控制权限，最终实现越权以及提权攻击。

镜像来源不可信，黑客将含有恶意程序的镜像上传至公共镜像仓库，通过公共镜像仓库下载并在生产环境中部署运行，导致恶意程序在内网中蔓延开来。

镜像配置不可用，镜像配置不当让系统面临攻击危险，例如，镜像未使用特定用户账号进行配置导致运行时拥有的权限过高。

镜像自身不清楚，从镜像仓库中获得的容器镜像，但是镜像本身会存在漏洞，从而导致通过镜像部署的容器存在漏洞。

镜像获取不安全，如果在拉取镜像的过程中，没有采用加密传输，导致在镜像仓库交互的过程中遭遇中间人攻击，拉取的镜像被篡改，从而造成镜像仓库和用户双方的安全风险。

图2

面对容器的安全风险和上层应用云原生化改造后新产生的风险，该企业对市场上云原生安全产品进行考察，综合评估之后，最终选择了安全狗容器安全+主机安全+态势感知的一体化安全防护解决方案，用于保护其容器安全和镜像安全。

图3

安全狗的攻城狮们在用户现场经过分析和调查之后，提出了“在保护好宿主机安全的基础之上，更要确保镜像本身的安全，确保镜像在运行过程中不会被篡改”的思路，并以此为基础提出了以下主要解决方案：

为了帮助用户落实等保2.0的相关要求，严格执行各项安全管理的制度，确保系统安全稳定运行，安全狗设计了的合规产品矩阵，以帮助用户单位顺利通过云等保测评，

通过采用主机入侵检测及安全管理系统安全，检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

通过采用自适应微隔离系统解决对入侵防范的要求，制定可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

通过采用容器自适应安全管理系统，对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

建设明细如下：

在进行等级保护建设整改的过程中，镜像的安全需要重点建设，镜像的安全性直接影响容器安全，因为容器镜像在存储和使用的过程中，可能被篡改，如被植入恶意程序和修改内容，而一旦使用被恶意篡改的镜像创建容器后，将会影响容器和应用程序的安全。 因此，安全狗为用户提供用于容器镜像防篡改的机制，并通过控制手段来阻止无法通过完整性校验的镜像部署到容器集群中。通过与镜像构建的 CI/CD 流水线工具进行整合，实现镜像构建过程控制，从构建、测试、扫描到完整性检测全流程管控镜像安全。例如，为用户构建一个新的镜像，使用镜像签名与 CI/CD 流水线结合的机制进行镜像安全控制，流水线中每一个检测环节完成后均会基于镜像 Hash 值完成一次签名，最终在容器平台侧验证待部署镜像具备 CI/CD 流水线每一个环节的合法签名，容器平台才会基于该镜像进行容器启动；缺失任何环节的非法镜像或被篡改镜像均无法通过最终的验证环节，从而有效地保障了镜像的全流程控制与内容完整性。

对于传统的应用部署，无论是基于物理主机还是基于虚拟机，其操作系统上承载的应用相对固定。而在容器环境下，一台宿主机上可以快速部署和运行几十个甚至上百个容器，Kubernetes容器编排平台又提供良好的负载均衡、任务调度、容错管理机制，这样一来，一台宿主机上容器的部署密度和变化频率较传统环境有发生了巨大的变化。因此，需要可视化地发现和记录容器快速变化的行为，我们通过调用docker api与宿主机docker demon交互，获取镜像容器各类资产，梳理镜像类别、容器类别、主机类别资产，作为容器运行状态的数据支撑，将大量纷杂的数据转换为用户可以轻松访问、理解和利用的有实用价值的信息。并通过整合容器资产，依托折线图、饼图、环形图等将资产进行分类聚合、关联分析、趋势分析以及联合风险信息，通过统一的界面平台实现全面的可视化，从而实现实时发现和记录容器快速变化的行为。

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

对容器进行微隔离，一方面针对业务角色，从业务视角更细粒度实现访问隔离；另一方面，针对业务之间的关系，在隔离的基础上，实现访问控制，从而降低入侵行为伴随东西向流量进行横向移动，以及检测数据泄露，实现“容器拓扑”的可视化、“网络策略”的自动化，来帮助用户在配置网络策略时快速的生效。

容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

建立容器安全管理平台，帮助梳理容器内部资产信息，包含镜像、镜像来源、容器、镜像仓库等资产信息，降低了人工采集资产的资源投入。镜像构建时就对镜像进行扫描，一旦检测到漏洞、错误配置、威胁等相关问题，立刻通过容器安全平台向管理员进行提示和处理。另外通过容器安全来检测和阻断容器运行时遇到的安全威胁，来保障容器的稳定运行。

全网态势感知平台是融合大数据分析技术、可视化技术、威胁情报技术于一体，为企业构建的新一代安全态势可视平台，通过集中所有资产安全状况，实时监控业务整体安全，让漏洞、威胁和攻击情况一目了然，保障所有资产的安全；通过网络设备基础信息数据和部署在重要信息系统、重要基础设施、重点网站的安全日志、入侵事件，实时监测安全风险，实时呈现告警事件的统计信息，建立纵深防御增强体系，对整体网络安全威胁态势进行分析和展示，提升安全决策的准确度和效率。

通过安全狗一体化的安全防护解决方案，实现了对容器和宿主机的防护，并在此基础上进行可视化的安全管理，形成一个从外到内、从内到外纵深的安全防御体系。

本项目带给用户的价值如下：

全局可视：通过全网安全态势感知大屏，安全事情大屏、外部攻击大屏等从全局视角进行可视化展示，辅助安全管理，提供决策依据。

精准检测：从采集、检测、监测、防御、捕获等各种手段对主机和容器进行全方位的安全防护，各个模块进行联动，模块间数据联通，形成闭环系统。同时，避免了业务数据被入侵的可能性，极大的降低安全风险。

协同防御：安全感知系统通过与网络安全设备联动保障与网关间的协同防御，通过与容器安全管理系统、主机入侵监测及安全防护系统保障业务全生命周期的安全防护。

访问控制：支持细粒度的控制，阻断南北向和东西向攻击，根据实际需求，可以选择白名单模式或黑名单模式。

微隔离：针对东西向流量的隔离，提供基于业务流向的可视化，用于阻止攻击者进入网络内部后的东西向移动，能够有效阻止容器逃逸。

透过该互联网企业的云原生安全实践来看，云原生技术已经进入了快速发展期。云原生技术以其高效稳定、快速响应的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。中国信息通信研究院《中国云原生用户调查报告 2020》指出2020 年 43.9%的国内用户已在生产环境中采纳容器技术，超过七成的国内用户已经或计划使用微服务架构进行业务开发部署等，这使得我们对容器技术的认知和使用进入新的阶段，为了更好地应对容器建设过程中可能遇到的各类安全问题，安全狗打造了容器安全防护体系，来为容器的进行全方位防护。

对用户来说容器是不透明的，封装成一个个繁琐镜像。随着数年积累的CVE越来越多，很多应用都存在问题，在更新频率低的镜像中尤为严重。我们通过主机镜像、仓库镜像的检测，多层次的镜像分析，从而杜绝镜像中的问题给运行的容器带来风险。

对于镜像漏洞风险，通过对镜像发起扫描和特征的提取，并结合CVE漏洞库进行特征匹配，如发现漏洞将会立刻进行提示。

对于镜像恶意后门，提供病毒木马、网页后门检测引擎，自定义网页后门规则，来检测恶意镜像。

对于镜像不安全风险，提供查看镜像中的敏感信息，防止敏感文件泄露、敏感秘钥泄露等，提供查看镜像registry的镜像关系，版本历史，还有镜像构建文件，确保镜像在分发上线前安全可信。

采用自定义镜像阻断规则，对存在root用户启动、病毒木马、网页后门、特定漏洞或非信任镜像等规则下的镜像阻断其运行。

图4

容器在运行中会持续为用户的应用程序处理资料、产生记录等，此时，我们就需要确保这些都是正常行为，而非恶意活动；而对于容器运行时配置不当也会降低系统的相对安全性。

对容器的风险监测和阻断，监控分析容器运行中发生的安全事件，采用即时扫描和实时监控两种模式对容器进行入侵行为检测。恶意行为检测是对于恶意行为模式的定义，对容器及编排工具内的黑客攻击行为进行实时检测。

入侵检测引擎，对于容器内文件、代码、脚本进行病毒木马、网页后门、反弹shell、安全漏洞的实时检测；

异常处理引擎，建立行为学习模型，对容器内进程、文件行为、命令、网络进行异常行为检测，包括但不限于执行ssh命令、挂载非法目录、搜索私钥等；

逃逸检测引擎，在容器面临的所有安全问题当中，逃逸问题是最为严重的，云甲能针对容器、主机及编排工具内的逃逸风险，监测用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击，快速告警跟踪；

自动将风险事件阻止隔离并根据严重性发出不同等级的告警通知。

图5

对主机和容器提供统一资产采集、脆弱性分析、威胁检测、分析研判、联动响应，并进一步建设仪表盘、态势、风险、分析、溯源和处置安全应用功能，支撑并实现安全运营自动化线上响应处置。

安全基线一直是安全措施中最省时省力的技术手段之一，完备的基线检查可以帮助管理人员提前发现相关配置问题，尽可能的帮我们减少攻击面。

CIS容器配置基准保证从基线、静态分析多个维度对容器安全性提供保障。构建基于CIS的Docker、Kubernetes安全操作实践检查基线。可实现一键自动化检测，提供可视化基线检查结果和代码级的修复建议。同时，结合企业个性化应用场景，提供基线定制开发，以快速匹配各行业、各企业安全配置需求。

总结

随着容器技术的蓬勃发展和趋于成熟，信息系统软件设计模型趋向于微服务架构和容器化部署，越来越多的信息系统采用容器技术，容器安全变得至关重要。容器安全防护是一个持续不断的过程，在提供保护构建流程的容器镜像基础上，防护运行时期的主机、平台与应用程序，延伸到基础架构的维护与运营。安全狗在提供容器安全的基础上，将防护融入不断循环的软件生命周期持续性交付特点中，全面覆盖容器环境中可能产生的更多安全问题，更好的保护系统，降低企业风险。