Linux容器安全探索

0x01、业务需求

Linux容器技术通过共享主机操作系统内核，实现轻量的资源虚拟化和隔离，近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时，容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段，做了以下技术探讨。

在日常的安全工作当中，在态势感知平台，全流量检测系统中，我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身，而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现，我们做了深入研究。

入侵场景：

我们发现越来越多的web中间件都部署到docker容器中，在容器中没有太多的安全保护措施。

攻击流程如下：

1、攻击者使用RCE漏洞在容器中执行反弹shell。（例如：shellshock CVE-2014-6271）

2、攻击使用容器相关漏洞提权，穿越到运行容器的linux服务器上，横向攻击整个linux集群

3、攻击维持对整个服务器访问权限。

0x02、检测防御方案探讨

一、基础数据收集

我们想要的是如何提升我们对docker中发现的问题的态势感知能力。首先要做一定的数据采集工作。通过这些基础的数据，我们才能聚合分析出安全风告警，进而完成我们对容器的安全期望指标。

假设你的docker部署到公有云环境当中，我们需要监控的日志：

1、API活动监控

2、VPC Flow监控/HTTP日志

3、系统日志监控

然后把数据统一存放在elastic search 中查看或者关联分析。前两项一般公有云都会提供，第三项需要用户自己提供，由于workload在云主机上。所以我们需要对linux审计软件做一下性能影响跟踪。系统监控选取： draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。

根据一下性能指标对比，我们发现轻量级的容器系统监控，没有内核模块的要求。100%使用go语言编程（没有C go集成）更容易完成我们的需求。

提升感知能力：需要从两方面入手，网络流量的可视化，docker内发生的安全事件可视化。

1、网络层面需要收集以下信息：

2、镜像和主机层面需要收集以下信息：

3、服务器端需要进一步排查分析。确定的安全事件，联动阻断网络通讯。

0x03、总结

为了更好的提升容器安全的感知能力，需要linux容器安全解决方案提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等多维度的安全面的安全防护。当然，还是建议各位看官使用云原生的安全解决方案。