青藤云安全细述容器中容器风险有哪些?

2019-10-25

青藤云安全表示,由于容器具有可移植性、简单的可扩展性和较低的管理负担,越来越多地被用于部署应用程序。但是,其中的风险也不容忽视。本文,细述容器中的容器风险有哪些?

一、 运行时软件中的漏洞

虽然运行时软件中的漏洞比较少见,但是,如果因为漏洞导致“容器逃逸”等情况的发生,恶意软件就可以攻击其它容器以及主机操作系统本身的资源,这就特别危险了。攻击者还可能能够利用漏洞入侵运行时软件本身,然后篡改该软件,从而让攻击者访问其它容器,监控容器与容器之间的通信等。

二、 容器的网络访问不受限制

在大多数容器运行时的默认状态下,各容器都能够通过网络访问其它容器以及主机操作系统。如果容器被入侵并采取恶意行为,那么,允许存在这种网络流量可能会使环境中的其它资源面临危险。例如,遭到入侵的容器可以被用于扫描它所连接的网络,以便找到让攻击者可利用的其它弱点。这种风险与第3.3.3节中讨论的虚拟网络隔离效果差有关,但也有所不同,因为它更侧重于从容器流出到其它目的地,而不是应用“相互通信”的情况。

由于容器之间大部分是虚拟化连接,因而,在容器化环境下管理对外网络访问更加复杂。因此,从一个容器到另一个容器的数据流在网络中可能只显示为封装的数据包,而没有直接表明其根本来源、目的地或有效载荷。不能感知容器的工具和操作流程无法检查这些该流量,也无法确定其是否存在威胁。

三、容器运行时配置不安全

容器运行时通常会给管理员提供多种配置选项。容器运行时配置不当会降低系统的相对安全性。例如,在Linux容器主机上,经允许的系统调用集通常默认仅限于容器安全运行所必需的调用。如果该列表被扩大,则被入侵的容器会让其它容器和主机操作系统面临更大风险。同样,如果容器在特权模式下运行,则可以访问主机上的所有设备,从而让其本质上成为主机操作系统的一部分,并影响在主机操作系统上运行的所有其它容器。

运行时配置不安全的另一个示例是允许容器在主机上装载敏感目录。容器通常很少会对主机操作系统的文件系统进行更改,而且几乎不应该更改控制主机操作系统基本功能的位置(例如,Linux容器的/boot或/etc、Windows容器的C:\Windows)。如果允许遭到入侵的容器更改这些路径,那么,也可以被用来提权并攻击主机本身以及主机上运行的其它容器。

四、应用漏洞

即使组织机构采取本指南中建议的预防措施,但由于容器运行的应用存在缺陷,容器仍可能受到入侵。这不是容器本身的问题,而只是容器环境中典型软件缺陷的表现。例如,容器化的Web应用可能容易受到跨站脚本漏洞的攻击,数据库前端容器可能会受到SQL注入的影响。当容器遭到入侵时,容器可能会通过多种方式被滥用,例如允许非授权访问敏感信息,或实现对其它容器或主机操作系统的攻击。

五、流氓容器

流氓容器是环境中计划之外或未经批准的容器。这可能是一个常见现象,尤其是在开发环境中,应用开发人员可能会启动容器,以此来测试其代码。如果这些容器没有经过严格的漏洞扫描和适当配置,很有可能更容易被利用。因此,流氓容器给组织机构带来了额外的风险,尤其是流氓容器存在于环境中,而开发团队和安全管理员却没有意识到的时候。

开始免费试用青藤产品

申请试用
热线
400-188-9287
青藤官方热线电话服务
咨询