青藤云安全表示,为了说明之前建议的应对措施的有效性,请考虑以下容器威胁场景案例。
一、利用镜像中的漏洞
容器化环境中最常见的一个威胁是容器内的软件中存在应用级漏洞。例如,组织机构可以基于通用的Web应用创建镜像。如果该应用有漏洞,漏洞会被用于破坏容器内的应用。一旦攻破,攻击者可能能够映射到环境中的其它系统,试图在被入侵的容器内提权,或滥用容器攻击其它系统(如充当文件下载器或指挥和控制终端)。
采用下述推荐应对措施的组织机构会具备多层纵深防御措施来应对这种威胁:
1. 在部署过程中尽早检测到含有漏洞的镜像,并采取适当的控制措施,防止部署有漏洞的镜像,可以防止将该漏洞引入生产环境中。
2. 容器感知网络监控和过滤功能,可以在容器试图映射到其它系统的过程中,检测到与其它容器的异常连接。
3. 容器感知进程的监控和恶意软件检测,会检测到错误或异常的恶意进程及其引入环境中的数据。
二、利用容器运行时
虽然并不常发生,但如果容器运行时受到攻击,则攻击者可以利用对此容器的访问权限攻击主机上的所有容器,甚至攻击主机本身。
针对此威胁情景的相关缓解措施包括:
1. 使用强制访问控制功能可以提供额外的壁垒,确保进程和文件系统活动仍然隔离在既定边界范围之内。
2. 工作负载的分隔确保了入侵范围将仅限于共享主机的、相同敏感度级别的应用。例如,对于仅运行Web应用的主机,其运行时被入侵不会影响其它运行财务容器的主机上的运行时。
3. 能够报告运行时漏洞状态、防止将镜像部署到有漏洞的运行时安全工具中,可以防止工作负载在容器中运行。
三、运行有毒镜像
由于镜像很容易从公共位置获取,通常是未知来源,攻击者可能会在已知目标会使用的镜像中嵌入恶意软件。
例如,如攻击者确定,某个目标在讨论区积极讨论一个特定项目,并且会使用该项目网站提供的镜像,则攻击者可能会尽力制作恶意版本的镜像,以便用于攻击。
相关的缓解措施包括:
1. 确保只允许将经过审核、测试、验证和数字签名的镜像上传到组织机构的镜像仓库。
2. 确保只允许运行可信镜像,防止使用外部、未审核来源的镜像。
3. 自动扫描镜像是否存在漏洞和恶意软件,检测嵌入镜像的恶意代码,例如rootkit。
4. 部署运行时控制措施,限制容器滥用资源、提权和运行可执行文件的能力。
5. 使用容器级网络分段来限制中毒镜像的“爆破半径”。
6. 确认容器运行时按照最小授权和最小访问原则运行。
7. 构建容器运行时的威胁特征。这包括但不限于进程、网络调用和文件系统变更。
8. 在运行前通过哈希值和数字签名验证镜像的完整性。
9. 根据可接受的漏洞严重级别的确定规则,限制镜像的运行。例如,防止带有中等或更高CVSS级别漏洞的镜像运行。
掌握容器威胁场景案例,对容器安全了解更多,更能降低风险。