打了 15 天,如何做到在容器权限上不失一分?
今年实战演练,新增了容器权限相关的扣分项,容器安全的重要性上升了一个台阶。这对于很多容器化进程走在行业前列的组织而言,绝对是一个不小的挑战。
笔者,今年也有幸参与了一个集团化企业的演习防守工作,想跟大家交流一下心得。
该集团有 6000+容器,分布在 500+多台宿主机上,包含了 2500+多个应用,8000 多个开放端口。说实话,一开始,我们也是胆战心惊,思考如何度过 15 天红队的疯狂进攻呢?我们主要面临 3 大严峻挑战,对此我们采取 3 大防守战法。
3 大挑战:资产多且暴露面广,大量未知风险,容器安全人才缺乏。
(1)容器资产数量大,公网暴露面广
那些运行公网业务的容器资产会成为重点的入侵对象,攻击者通过公网扫描可以快速锁定暴露在公网的容器资产,进而进行入侵尝试, 一旦容器被成功入侵后,攻击者就有可能获取宿主机的权限,进而实现从容器到宿主机的管控,再进行下一步的内网横向穿透。
(2)大量未知容器风险和不合规配置,防不胜防
集团现有的容器资产数量较多,存在大量的容器风险和不合规配置,集团容器安全能力人员配置不足,对容器相关的安全风险和容器入侵事件的研判能力不足,这也导致集团运行的容器存在较大风险,一旦容器失陷,极有可能影响整个内网的安全。
例如,在使用容器过程中,为了方便容器和宿主机之间的文件读取,管理员往往会配置高权限容器,也就是“特权容器”,通过特权容器实现容器和宿主机之间的文件共享,这会带来很大的风险。
(3)容器安全能力储备人员不足,容器告警事件容易忽略
当容器遭受攻击时,由于缺少专业人员,无法第一时间识别容器的告警并做出对应的处置手段,增加了内网失陷的风险。
容器安全威胁挑战巨大,青藤在该领域已经积累了大量有效的实战经验并输出了相关的解决方案报告,可扫描下方二维码获取《云原生环境下,如何打造一站式容器安全》报告。
如果您有具体问题或需求也可以拨打我们的服务热线 400-188-9287。
3 大技战法:外部隔离,内部规避,入侵阻断
(1)容器雷达加容器微隔离,从外部隔离开始
通过采集容器资产的信息,明确资产的信息及资产责任人,在出现入侵事件时,通过资产确认可能的攻击手段。例如,在发现 0day 时,第一时间通过筛选资产快速定位存在漏洞的应用等等。
有了清晰的资产信息之后,可通过采集容器的网络连接,形成网络连接雷达图,能清晰查看该容器是否有外网连接或跨容器连接记录。此外,目前共设定正常规则超 6000 条,在真实入侵发生后,通过微隔离,对异常链接尝试告警,日均告警 100 条,通过快速阻断异常连接实现网络隔离。
(2)发现未知风险,从内规避
通过对容器资产的安全扫描,集团侧累计发现容器风险漏洞 2000+,通过对宿主机漏洞、docker 漏洞的整改,及时规避了风险。
(3)发现入侵,自动阻断
在攻击者成功入侵后,能快速发现入侵告警,通过容器安全平台对入侵事件进行分析,确认真实告警,进行快速阻断。青藤蜂巢容器安全平台还能通过自主学习,对确认的安全事件进行自动阻断,加快系统的响应速度。通过定制白名单规则等操作,解决误报和错报的问题,提升阻断的精准性。
可以预见的是,随着容器安全的重要性不断提高,未来容器定将成为重点攻击目标,黑客会想方设法获取容器权限。因此,在长期跟踪容器安全的研究之后,输出《2022 容器安全洞察及解决方案报告》。
详细内容识别图中二维码查看电子书报告
评论