葉劍宏-容器應用的一體化全流程安全防護實踐（GOTC深圳會場）（17頁）.pdf

1、LF 開源教育及人才培養高峰會專場葉劍宏 2021年08月01日本期議題：容器應用的一體化全流程安全防護實踐云原生人才培養計劃 2.0 發布！強強聯手，打造最懂開發者的云原生人才課程Linux 基金會開源軟件學園、阿里云、馬哥教育聯合出品，從理論基礎，到開源實踐，再到企業真實落地，各路專家打造最懂開發者需要的云原生人才課程體系由淺入深，引導最適合開發者的云原生學習路徑遵循云原生人才學習路徑及人才發展不同階段搭建課程體系框架，由淺入深，第一期將幫助云原生人才學習 Kubernetes 完整技術棧內容一課雙證，打通云原生人才專業技能認證快速通道貫穿理論、實踐、體驗，為廣大云原生領域人才完成 CKA

2、、CKAD、ACA、ACP 等專業認證提供積累專業技能的基礎環境，以及相關資格考試優惠福利容器對IT基礎設施的影響容器環境下IT架構的變化基礎架構物理機架構云化架構IT架構物理服務器操作系統應用程序物理服務器虛擬化虛擬化操作系統操作系統應用程序應用程序物理服務器虛擬化操作系統操作系統容器容器應用程序應用程序OpsOps/SecDev/SecDev/SecOps/Sec云平臺云平臺云平臺云平臺云平臺Dev/Ops/Sec容器化架構企業面臨的容器安全風險The State of Container and Kubernetes Security2020 Winter StackRox 配置安全鏡像

3、安全運行安全主要風險威脅舉例黑客上傳惡意鏡像存在安全漏洞的系統和軟件中間人攻擊篡改鏡像Docker.sock暴露到公網容器掛載宿主機敏感目錄K8s API Server未授權訪問特權漏洞導致的權限提升漏洞惡意特權容器的啟動云原生容器對開發者、運維、安全的挑戰云原生安全挑戰更多的攻擊面快速變化的資產應用全生命周期的安全防護安全適應動態變化開發周期縮短，應用發布頻率變快開發運維安全端到端的云原生容器安全架構縱深防御構建從供應鏈到運行時的一體化安全流程最小化攻擊面安全穩定的容器基礎設施平臺 云原生應用生命周期安全能力Pre-Deployment:Pre-Deployment:開發開發 測試測試 構建

4、構建 部署部署RuntimeRuntime 運行時刻運行時刻運行時監控和告警運行時監控和告警應用鏡像加簽RBAC沙箱容器沙箱容器配置巡檢配置巡檢驗簽策略證明者機密計算機密計算開發測試OPAPSP策略管理AuthenticationAuthorizationAdmission Control運行時刻縱深防御鏡像掃描KMS一致性安全策略加固安全管理員安全運維事件觀測，溯源事件，審計容器資產識別與關聯鏡像監控容器集群彈性監控宿主主機監控識別與關聯ECSECSECSECSECSECSECSECSECSECSECSACKACKNodemastermasterPodPodPodPodPodNodeNode

5、NodeNodeNodeNodeNodeNodeNodeNodePodPodPodPodPodPodPodPodPodPodACRAPPAPPAPP鏡像安全APPBASEAPPCI/CD云安全中心鏡像安全掃描APP安全證書ACRACR EE可信鏡像PodPodPod驗簽運行時安全masterNode PoolController ManagerETCDAPI ServerSchedulerNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContain

6、erOSHardwareNode網絡連接監控命令行監控進程監控系統監控內核監控日志監控用戶容器運行時防護路徑初始入侵下發指令持久控制權限提升躲避防御竊取憑證探測信息橫向攻擊達成目標云賬號AK泄露通過kubectl進入容器部署遠控容器利用特權容器逃逸容器及宿主機日志清理K8s Secret泄露訪問K8s API Server竊取憑證攻擊云服務破壞系統及數據使用惡意鏡像創建后門容器通過掛載目錄向宿主機寫文件K8s Rolebinding添加用戶權限K8s Audit日志清理云產品AK泄露訪問Kublet API竊取憑證攻擊其他應用劫持資源K8s API Server未授權訪問通過K8s控制器部署后

7、門容器K8s cronjob持久化利用掛載目錄逃逸利用系統Pod偽裝K8s Service Account憑證泄露Cluster內網掃描通過Service Account訪問K8s APIDDoSK8s configfile泄露利用Service Account連接API Server執行指令在私有鏡像庫的鏡像中植入后門通過Linux內核漏洞逃逸通過代理或匿名網絡訪問K8s API Server應用層API憑證泄露訪問K8s Dashboard所在PodCluster內網滲透加密勒索docker daemon公網暴露帶有SSH服務的容器通過Docker漏洞逃逸清理安全產品Agent訪問私有鏡像

8、庫通過掛載目錄逃逸到宿主機容器內應用漏洞入侵通過云廠商CloudShell下發指令利用K8s漏洞進行提權訪問云廠商服務接口訪問K8s DashboardMaster節點SSH登錄憑證泄露容器內訪問docker.sock逃逸通過NodePort訪問Service攻擊第三方K8s插件私有鏡像庫暴露利用Linux Capabilities逃逸攻擊者開發運維攻擊者容器網絡安全防護InternetNetworkingContainerContainerOSContainerNodeNetworkingContainerContainerContainerContainerNode容器proxy南北向防護

9、東西向防護云安全中心東西向防護WAFDDOS防護基于大數據的自動拓撲智能算法策略推薦Ingress云防火墻VPC一致性安全策略管理基于容器安全最佳實踐，一鍵化免費檢查集群應用配置安全：健康檢查配置校驗 資源限制配置校驗 網絡安全參數校驗 鏡像拉取安全校驗 安全參數配置校驗CIS Kubernetes Benchmark for ACKSecurity Inspection Reporthttps:/www.cisecurity.org/benchmark/kubernetes/CIS Kubernetes Benchmark for ACK打造一體化云原生安全從研發開始 統一DEVSECOPS保護全生命周期建立可信容器體系ACR EE DevSecOps 端到端安全企業用戶ACR EEKMS容器鏡像不可變不可變 TagTag 防覆蓋防覆蓋鏡像簽名鏡像簽名構建容器服務私鑰公鑰鏡像驗簽鏡像部署自定義策略，風險阻斷自定義策略，風險阻斷安全掃描云原生應用交付鏈，支持多安全掃描引擎、鏡像加簽配置，全鏈路可觀測、可追蹤、可自定義安全策略。將 DevOps 全面升級 DevSecOps，保障制品更加安全、高效交付上線。鏡像掃描鏡像加簽鏡像驗簽THANKS