容器化技术作为云原生“三驾马车”之一,在助力企业技术架构升级、应用效能提升的同时,也给企业安全防护带来了全新的挑战。在传统模式下,攻击者控制了单台节点后,仍需横向对其他节点进行缓慢渗透,才可控制整个系统。而在容器环境下,一旦攻击者控制了单个容器,可通过容器敏感目录挂载或漏洞利用等方式逃逸至宿主机获取更高权限,从而控制宿主机以及上面运行的所有容器业务,通过集群漏洞、配置不当等风险控制整个集群业务。原本“一次打包,到处运行”的便利变成了“一次入侵,控制一切”的被动。
千里之堤,溃于蚁穴,企业亟须构建针对性的容器安全防护体系。本文将结合腾讯云内部业务千万核规模容器安全治理经验,为大家继续剖析企业云上最后一道防线之一——容器安全,在重保场景下的最佳实践。
正本清源,从容器特性出发理清攻防侧重点
工欲善其事,必先利其器。想要理清容器攻防侧重点,需从理解容器特性出发。
- 短生命周期:
- 难点:据统计,49%的容器生命周期小于5分钟,74%小于1小时。对比云主机的平均333天的生命周期,分钟级的容器存活期使得容器运行态防护变得更加困难;
- 应对思路:一方面,在镜像构建、部署的阶段,企业就需要对漏洞、配置不当等风险进行收敛;另一方面,需要做好镜像、容器、集群资产的梳理及清点,以便配合高效的检测手段和入侵拦截策略,及时定位风险资产采取相应措施。
- 高部署密度:
- 难点:单个集群的平均容器部署密度约为30,海量的容器运营引入了批量化管理工具,也对于部署阶段的环境安全提出了较高的要求。镜像仓库、编排工具一旦被感染或控制,所管理的镜像、容器资产将全部暴露在风险中;
- 应对思路:在部署阶段,需对镜像仓库、集群及主机的漏洞、配置、木马病毒等风险进行检查,确保环境安全。
- 弱隔离性:
- 难点:和虚拟机基于系统的隔离不同,容器基于进程的隔离,没有明确的安全边界。当攻击者攻破容器后,可进一步获得宿主机系统权限,威胁宿主机上其它容器及内网的安全;
- 应对思路:在容器运行阶段,针对容器隔离性弱及共享主机内核的特性,需对容器逃逸风险进行实时监控。
总而言之,容器环境下木马病毒、漏洞利用、反弹Shell等传统安全威胁仍然存在的同时,容器自身的特性也让企业面临更多样的攻击面与更复杂的攻击手段。企业需要围绕容器的全生命周期,对攻击面进行持续收敛,并采用针对性的防御方式。
把握三大关键阶段,四步构建全生命周期容器防护体系
在重保场景下,腾讯云容器安全建议企业把握住构建、部署、运行三大关键阶段,四步构建全生命周期容器防护体系。
第一步:梳理容器化资产,避免非业务容器启动
首先,企业需对全盘的容器化资产进行清点,消除资产盲区。可借助腾讯云容器安全服务资产管理功能,对容器、镜像、集群等12种资产进行一键清点。
- 最小化原则:梳理当前所有容器的运行状态,关闭非必要的容器服务;
- 避免非标记镜像启动容器:核实当前运行有容器的镜像,避免未经企业认证的镜像拉起容器业务;
- 全面清点容器化业务开放的服务:对开放服务及进程端口进行确认,按业务需要设置访问规则,并进行重点监控。
第二步:仓库镜像安全排查,避免业务使用风险镜像
接下来,应对入仓镜像进行一键检测,深入发现镜像供应链潜在安全风险,避免存在严重、高危漏洞,木马病毒及配置管理不当的镜像拉取到本地。
第三步:容器线上业务风险收敛
- 本地镜像运行风险检查:拉取到本地的镜像,运行容器前进行安全扫描,确保镜像无安全隐患;容器运行后,设置定时任务扫描运行容器的镜像是否存在严重、高危漏洞,爆发新漏洞时及时扫描是否存在风险组件;
- 集群环境检查:设置定时任务扫描运行容器的业务集群是否存在配置、漏洞等风险,确保容器运行环境安全、配置合规;
- 最佳安全实践基线扫描:对运行业务的容器、镜像、节点、集群设置定时扫描任务,检查容器资产的配置是否安全合规,对严重、高危的检查项及时进行整改,降低企业被攻陷的风险、满足合规要求。
第四步:实时入侵行为检测及阻断
- 入侵行为实时检测:开启六大入侵检测功能,对容器逃逸、反弹Shell、文件查杀等入侵行为进行实时监控;
- 对风险事件进行审计与处置:参考腾讯云专家处置建议,对入侵行为进行审计并及时处置。以容器逃逸为例,企业可优先处理容器逃逸事件,对失陷容器进行一键隔离,避免风险在内网进一步扩散;
- 设置木马自动隔离及异常进程拦截策略:企业可借助腾讯云容器安全服务主动防御能力,自动查杀流行木马、拦截异常进程及恶意文件篡改行为。
以上是根据腾讯云内部实战经验,针对容器应用沉淀的治理思考和最佳实践。欢迎大家在腾讯云官网搜索“容器安全服务”体验试用。