容器安全面臨的挑戰

容器的入侵場景

與物理機、虛擬機、云主機等環境一樣，容器環境中的常用的入侵手段依然有效。

不安全的鏡像

?  鏡像中使用的應用存在安全漏洞

根據綠盟2018年3月的研究顯示，目前Docker Hub上的鏡像76%都存在漏洞。

?  公網倉庫中下載的鏡像，可能存在攻擊者植入的木馬病毒文件

安全公司Palo Alto Networks威脅情報小組Unit 42發現 DockerHub 上的鏡像一種新型的Graboid挖礦綁架病毒，目前已知這個蠕蟲已經感染了超過2,000臺不安全的Docker主機，用于挖掘Monero加密貨幣。

?  鏡像中存在敏感信息

如passwords, keys, creds等

?  Harbor 倉庫安全問題

1.7.0-1.8.2 版本存在垂直越權漏洞，因注冊模塊對參數校驗不嚴格，可導致任意管理員注冊。攻擊者可以通過注冊管理員賬號來接管Harbor鏡像倉庫，從而寫入惡意鏡像，最終可以感染使用此倉庫的客戶端。

?  攻擊者上傳的惡意鏡像

惡意鏡像中可能存在反彈shell、挖礦等惡意行為

容器逃逸攻擊

容器的「逃逸問題」，直接影響到了承載容器的底層基礎設施的保密性、完整性和可用性。

危險配置、危險掛載導致的容器逃逸

?  privileged特權模式運行的容器

?  容器掛載Docker Socket的情況

?  容器掛載宿主機procfs、mnt等

 危險配置、危險掛載導致的容器逃逸

程序漏洞、linux內核漏洞導致的容器逃逸

?  CVE-2019-5736  runC嚴重漏洞導致容器逃逸

?  CVE-2016-5195  Linux內核臟牛漏洞導致容器逃逸

程序漏洞、linux內核漏洞導致的容器逃逸

K8S集群攻擊

2018年，RedLock公司工作人員發現：數百個Kubernetes管理控制臺無需密碼即可訪問，即直接公開暴露在互聯網之上，這些管控臺被黑客們蓄意利用從事非法“挖礦” , 著名汽車公司Tesla 即曾慘遭此黑手。

Kubernetes ATT&CK Matrix

工作負載間橫向移動

早期數據中心的流量，80%為南北向流量；而在云原生下，隨著微服務架構的使用，80%的流量已經轉變為東西向流量。

在容器環境中，默認情況下同一集群中的所有pod可以相互訪問，所以網絡威脅一旦進入集群內，即可以肆意蔓延。

容器安全面臨的新挑戰

?  不安全的鏡像

鏡像存在應用漏洞、木馬病毒、敏感信息泄露等多種安全問題

?  容器逃逸攻擊

容器隔離性較弱，黑客可利用敏感掛載和漏洞實現逃逸到宿主機的行為

?  集群易遭受攻擊

K8s的未授權訪問漏洞可實現逃逸攻擊

Runc 組件漏洞問題會引發容器的逃逸行為

harbor的應用漏洞會導致越權攻擊

?  橫向移動

集群內工作負載間默認可以相互訪問，黑客進入集群內，可隨意訪問其他的pod

傳統安全防護手段的不足

傳統的安全產品無法深入識別容器內的安全問題。

?  防火墻

容器內東西向的流量暴增，而傳統防火墻主要是為了南北向業務模型設計的，無法細粒度管理到容器環境如此海量和復雜的業務。

?  終端安全

傳統的終端安全產品僅僅對OS一層有效，無法深入識別容器內的安全問題。

?  漏洞掃描

容器鏡像分層存儲，傳統的漏洞掃描僅僅在OS和網絡進行掃描，無法對容器鏡像進行掃描。

?  安全管理

DevOps模式下，流程全自動化，安全由誰發起，安全如何自動化管控，均給企業安全管理帶來了極大的挑戰。

容器安全解決方案

對工作負載進行持續監控和響應

持續監控分析并可視化容器運行狀態，及時發現異常風險和入侵，同時能夠快速進行隔離防護

全生命周期防護-“Shift left”

鏡像安全管控需集成到devops開發流程中。

微隔離策略

可視化容器訪問關系；提供從租戶、node、pod的維度進行微隔離策略的下發和管理。

解決東西向訪問不可見、網絡策略管理復雜的問題。

蜂巢容器安全平臺

蜂巢提供覆蓋容器全生命周期的一站式容器安全解決方案，實現了容器安全預測、防御、檢測和響應的安全閉環 。

容器資產

自動化構建容器資產相關信息，時刻掌握容器資產變化，消除資產盲點，使安全不落后于業務。

?  自動化、持續性容器資產清點

監控各類資產變化事件，實時上報容器資產

?  全面的容器資產種類識別

不僅支持對容器等基礎資產的清點，還包括對容器內的web資產、應用資產進行識別

?  細粒度的、業務級別的資產清點

對每類資產進行了深入分析，獲取資產相關的各項高價值的安全數據 

細粒度的、業務級別的資產清點

例如：Tomcat web 服務清點

?  深入清點了進程PID、所屬用戶、命令行參數、應用版本等信息

?  更進一步地，清點出tomcat的安裝路徑、配置文件路徑、訪問日志路徑、應用日志路徑等詳細信息

鏡像檢查

覆蓋BUID、SHIP、RUN 的全生命周期的鏡像深度檢查

鏡像深度檢查

?  基于3.5w+的安全補丁庫，發現鏡像中未打的安全補丁

?  支持T-sec、小紅傘、clamAv、青藤自研庫共四種病毒庫，發現鏡像中的木馬病毒

?  集成青藤自研雷火引擎，深入發現鏡像中的 web 后門文件

?  發現鏡像中的敏感信息/操作，如ssh-key、環境變量中的用戶密碼、鏡像中的數據文件等

?  受信鏡像檢測，發現非法鏡像

鏡像運行控制

允許用戶自定義規則，阻止不符合安全要求的鏡像運行。

容器運行時入侵檢測

提供多錨點的基于行為的檢測能力，能夠實時、準確地感知入侵事件，發現失陷容器，并提供對入侵事件的響應手段。

入侵檢測-Web后門

?  自動、實時web后門識別

自動化識別容器內 web 站點，實時檢測 web 目錄中黑客上傳的后門文件

?  精準、深入識別各類webshel

結合正則匹配、文件相似度等多種匹配方式

集成青藤雷火引擎，可深入識別各類混淆加密webShell

檢測率更高，誤報率更低

入侵檢測-容器逃逸

支持檢測各類容器逃逸行為

?  Privileged特權模式運行容器引起的逃逸

?  危險掛載導致的容器逃逸。如掛載Docker Socket、掛載宿主機procfs

?  內核漏洞導致的容器逃逸，如CVE-2016-5195

容器運行時防護 - 安全響應

檢測到異常入侵事件之后，對于失陷容器，支持快速進行安全響應，把損失降到最低。

支持的處理操作有：

?  隔離容器

?  暫停容器

?  殺容器

運行環境安全

發現容器運行環境 (docker/k8s/harbor…)的脆弱點

?  k8s 未授權訪問漏洞

?  docker未授權訪問漏洞

?  CVE-2019-16097 harbor倉庫越權漏洞

?  CVE-2019-5736  runC嚴重漏洞導致容器逃逸

?  CVE-2016-5195 Linux內核臟牛漏洞導致容器逃逸

?  CVE-2018-1002105   k8s權限提升漏洞

合規基線

構建基于 CIS Benchmark 的最佳安全操作實踐檢查

?  覆蓋了Docker和編排工具的合規性檢查

?  內置了100余項安全合規檢測項，覆蓋容器安全配置各個方面

?  合規基線自動進行周期性檢測 

?  生成規范化的報表，對每一個檢查項都有清晰檢查詳情和修復建議

?  抽象出十幾種基礎檢查能力，可以根據企業的需求自定義基線檢查策略

容器審計

全面覆蓋編排、docker、容器的行為審計，支持syslog數據對接。

產品架構與部署

產品架構

Agent 運行機制

蜂巢Agent，是一個輕量級Agent，經過 1,000,000+ 臺服務器的穩定運行實踐，可靠性達99.98%。

?  無驅動，非侵入式運行

?  運行性能消耗低

CPU占用率 <10%，內存占用 < 100M

?  資源消耗控制

負載過高時，Agent主動降級或重啟，給業務讓出資源

?  Agent通信安全加密

采用加密傳輸與服務端通信，保證數據安全

?  支持主機agent、容器化agent兩種部署方式

主機Agent可同時防護主機&容器的安全；容器化Agent支持編排統一管理

Agent原理

?  基于進程、API的容器資產盤點

通過調用docker API 獲取容器的資產信息，然后通過獲取容器內進程，根據進程指紋判斷資產類別。根據每種資產從進程命令、配置文件等獲取資產詳情。

?  基于進程、文件、系統調用的入侵事件分析

通過audit機制捕獲宿主機進程啟動事件，通過進程的namespace判斷所屬容器。再根據進程行為（例如判斷進程的輸入輸出流被定向到遠程IP，認為是反彈）進行入侵檢測。

?  Agent 通過管理阻斷插件，來控制鏡像的運行

hook在runc上有一個hive-shim，當個需要創建鏡像的時候，會問一下hive-shim，hive-shim會去問一下Agent， 是否有危險，是否可以創建，若可以創建，才會去調用runc，若不可以創建，則創建失敗。

產品集成

?  CI/CD

支持與CI/CD集成，提供 Jenkins掃描插件、鏡像掃描API服務

?  鏡像倉庫

支持與主流的鏡像倉庫進行集成，如Registry、Harbor、DTR、Jfrog等

?  編排工具

支持與主流的編排工具集成，如kubernetes等，深入支持編排的安裝部署、資產發現、編排應用漏洞

產品優勢

?  超融合架構，同時具備主機安全&容器安全防護能力（Agent安裝方式）

?  強大的安全運營分析能力，不斷為產品賦能

?  不斷升級的硬核技術實力，增強產品識別深度

?  蜂巢特色功能：容器資產盤點、運行環境安全分析、容器審計

支持的主流編排工具

蜂巢容器安全產品為容器的原生應用，支持各種編排工具的集中化部署，我們提供各種平臺的自動化部署腳本