写点什么

针对容器层的五种攻击手段

  • 2023-05-03
    北京
  • 本文字数:740 字

    阅读完需:约 2 分钟

针对容器层的五种攻击手段

对容器应用的安全攻击有多种形式,大概有以下五种攻击手段。

1、漏洞攻击

应用的生命周期从代码开始,除了应用程序本身的代码之外,还有大量的第三方依赖库。这些代码和第三方库中很可能存在漏洞,攻击者利用这些漏洞,进入应用系统内部。在云原生平台中,平台实现技术的复杂度增大,除了包含基础的主机操作系统外,还涵盖了虚机操作系统、容器编排系统和主机应用程序等基础组件,可能出现技术漏洞的范围也大大增加。

2、网络安全

同传统的网络边界安全攻击类似,在容器平台上,从主机网络到虚拟化网络再到容器网络,网络的复杂性也都增加了。不过网络架构再复杂,也脱离不了传统的 TCP/IP 网络架构,只不过在云原生平台下,网络架构从之前的基于物理设备的架构转变为虚拟化的网络架构了。

3、容器逃逸

这里的容器逃逸主要指的是利用容器运行时的漏洞获得更外围的权限和数据。代表未来主流的容器运行时有 containerd、CRI-O 等多种,在这些快速发展的云原生技术领域中,有很多未被发现的漏洞,让恶意代码有机会利用这些漏洞,脱离容器运行时的边界,非法访问主机系统的资源。

4、镜像安全

在云原生平台中,编写出来的代码最终会被构建成容器镜像,并以容器的形式运行。配置容器映像的方式跟容器镜像自身的安全性相关,不恰当的构建过程会有很大的可能引入安全问题。常见的问题包括配置容器以根用户方式运行、在主机上为容器赋予了超出需要的危险权限等。

5、密钥泄露

分布式应用有很多的配置数据和互相访问时所需要的密钥数据。在容器平台中,这些配置数据通常存储在平台的配置中心。配置中心通过加密的方式保存了这些数据,同时使用角色权限管理控制这些数据的读取和写入。密钥的不恰当管理会引起机密配置数据的外泄,对系统造成很大的安全隐患,所以对于 Kubernetes 密钥数据的安全保护和访问控制十分重要。


发布于: 刚刚阅读数: 6
用户头像

InfoQ签约作者 2018-11-30 加入

热爱生活,收藏美好,专注技术,持续成长

评论

发布
暂无评论
针对容器层的五种攻击手段_容器安全_穿过生命散发芬芳_InfoQ写作社区