22022容器安全技术在5G边缘云应用

容器安全技术在容器安全技术在5G边缘云上的应用 Part015G边缘云中的容器应用场景5G赋能千行百业ITU（国际电信联盟）定义了5G三大应用场景：增强型移动宽带（eMBB）、海量机器类通信（mMTC）及低时延高可靠通信（uRLLC）。5G正赋能千行百业，未来这项技术将与更多的产业相融。边缘云技术助力边缘云技术助力5G事实上，如果单纯依靠5G作为5G的关键技术之一，边缘计算通过在网络边缘就近提供数据和计算服务，将大幅减少数据处理和服务交付的时延，满足垂直行业对网络大流量、低时延以及安全与隐私保护等方面的需求。容器技术贴合容器技术贴合5G边缘云计算场景由于容器技术具备轻量级操作系统虚拟化与可移植性等优秀的特性，非常适合5G边缘云计算的场景。以K8S（Kubernetes）为例，鉴于它已经成为云原生编排的事实标准，因此携手K8S进入边缘将很有可能结束边缘计算当前混沌的状态，并定义云端和边缘统一的应用部署和管理的标准。Part02

5G边缘容器云安全威胁容器全生命周期的重点安全问题容器全生命周期的重点安全问题在容器的全生命周期：注重“配置安全”在项目构建时：注重镜像安全在容器的运行环境：注重“计算”“网络”“存储”以及“应用”等方面的安全问题镜像安全

容器安全网络安全存储安全应用安全配置安全镜像安全问题镜像安全问题根据根据Sysdig《2019年度容器使用报告》介绍，在用户的生产环境中，有40%的镜像来源于公开的镜像仓库。镜像的漏洞问题十分突出，连续5天对应用到生产环境中的镜像进行漏洞扫描，通过率仅为48%。镜像安全问题的维度可包括：镜像中的操作系统软件包与应用程序依赖项的已知CVE漏洞镜像的容器目录被植入Webshell镜像被植入二进制病毒、木马、后门镜像敏感信息泄露镜像完整性问题配置安全问题配置安全问题安全配置规范在镜像、容器、Docker、K8S、宿主机的落实情况并不是很理想。配置安全问题贯穿容器全生命周期。资产典型的配置安全问题镜像凭据泄露、敏感信息泄露容器以特权模式运行容器DockerDockerRemoteAPI未授权访问（2375端口）K8SK8SAPIServer未授权访问（8080、6443端口）宿主机未修复内核漏洞容器运行时安全问题容器运行时安全问题Docker容器安全问题的核心：Docker容器与宿主机共用内核，并且在内核层面的隔离性不足。纵向威胁“容器逃逸”是容器安全风险中最具代表性的高风险安全问题。攻击者可通过利用漏洞“逃逸”出自身拥有的权限，实现对宿主机或者宿主机上其他容

1容器编排应用的漏洞2用户的不安全配置3操作系统的内核漏洞4Docker5 Docker注：容器逃逸攻击往是一系列以“权限提升”为目的的攻击步骤的组合。Sysdig统计的“运行时安全威胁Top10”正是攻击者常用的攻击步骤。它们是：写/etc目录、写/root目录、创建特权容器、更改线程命名空间、创建挂载敏感目录的容器、获取sudo权限、尝试在二进制目录下写文件、异常运行shell、系统程序处理网络行为、shell登入容器。1横向威胁由攻击者可利用被攻击方在做“镜像运行控制”时的不安全操作发起DDoS类型的攻击。不安全操作的影响面包含但不限于。3

内存配额未被限制2 CPU存储空间配额未被限制容器网络安全问题容器网络安全问题1212如ARP欺骗、嗅探、广播风暴（在默认情况下，同一台宿主机下的容器是处于同一个子网的；在同一台主机上部署多个容器时，应合理配置网络）Docker缺陷架构与安全机制纰漏攻击者若控制了宿主机的一些容器（或者在公有云建立容器）可通过对宿主机或其他容器发起攻击、产生影响。3微服务架构应用安全问题3Docker被广泛应用于微服务架构的Web应用，应关注这一组织形式的Web应用的安全问题。应用安全问题应用安全问题针对物理机、虚拟机、云主机等环境的许多攻击手段对于容器环境依然有效APPAPP攻击者

WebshellRCE0day……

容器逃逸APP容器APP横向渗透

宿主机

APPAPPAPPAPP APPAPPAPP集群5GEdge-CloudPart03

5G边缘容器云安全解决方案整体思路：容器的全生命周期安全+应用安全构建 部署 运行构建历史

Host镜像漏洞病毒木马Webshell敏感信息受信镜像

CI/CDRegistry

镜像仓库访问控制信任仓库

镜像运行控制

病毒木马逃逸风险网页后门异常命令文件异常行为异常进程反弹shell

容器到容器容器到容器容器到主机网络拓扑软件包进程数据库web中间件...

集群部署

授信节点安全配置审计日志

POD

流量监控访问策略网络攻击镜像安全 合规安

运行环境

运行时安全

集群审计

容器网络安全

应用安全资产清点5G边缘云容器安全系统功能资产采集1 2容器、镜像、镜像仓库、主机、POD等基础资产信息，并支持对容器的进程、端口、数据库和web容器的采集。合规基线

镜像安全扫描镜像扫描包括系统漏洞、病毒木马、webshell、敏感文件泄露等镜像风险问题。3 容器运行时安全基于CIS的Docker、Kubernetes 7安全基线。宿主机安全

平行特权容器+主机Agent4

实时发现容器运行时存在的恶意进程、反弹外联、恶意命令执行和恶意文件操作行为、容器逃逸行为、暴力破解等。结合主机安全轻量化Agent，对宿主机进行 6安全检测、监测和防护。包括宿主机漏洞风险的扫描发现，宿主机入侵威胁实时监测，并对宿主机的资源、性能进行监控，提供对宿主机的合规基线

5应用安全

容器网络安全容器以及容器应用的安全隔离，支持“容器网络拓扑”的可视化，“生成网络策略”的自动化。支持对受保护容器前置“容器版的WAF”支持自动检测服务以及API，做到接口级的防护部署方案：平行容器部署方案：平行容器RootFSAppBin/LibRootFSAppBin/LibRootFSAppBin/LibHost监控服务主机监控及防护服务主机体检服务云端通信及配置文件服务插件中心服务守护进程以及配置的监控服务升级中心服务平行容器特点管理。提高客户环境自身对该客户端的运维简便度不侵入客户环境的情况下依然可以提供服务性能上容器本质上是一种受限的进程，在没有cgroup限制的情况下，可以利用到宿主机所有的计算资组件的启动源组件的启动容器安全+主机安全Agent联动资产采集资产采集通过与宿主机Dockerdemon与镜像仓库API交互，实现高效的镜像扫描；提供容器环境中的基础资产（如镜像、POD）、配置资产（如进程、端口）以及应用资产配置资产进程配置资产进程配置信息环境变量挂载信息端口基础资产镜像基础资产镜像主机镜像仓库容器POD应用资产软件应用数据库中间件站点容器API镜像安全扫描镜像安全扫描仓库镜像病毒木马检测模块通过对镜像发起扫描，发现镜像存在的系统漏洞、病毒木马、webshell、敏感文件泄露等镜像风险问题，确保镜像在分发上线前安全可信。仓库镜像病毒木马检测模块 拆包 本地镜像Webshell检测模块可疑历史、敏感信息、软件版本解析模块覆盖构建（Build）、分发（Ship）和运行（Run）的全生命周期镜像安全检查镜像运行阻断镜像运行阻断阻断包含禁止软件镜像阻断特权模式镜像阻断包含禁止软件镜像阻断特权模式镜像阻断包含漏洞等级、CVE号镜像阻断存在病毒木马、可疑历史镜像阻断非信任镜像阻断非信任仓库拉取镜像镜像白名单镜像阻断检测运行合规不合规镜像运行失败阻断容器运行时安全容器运行时安全采用即时扫描和实时监控两种模式对容器运行时进行入侵行为检测。在“即时扫描”方面，可支持病毒木马检测与webshell查杀；在“实时监控”方面，可支持命令、进程、文件等方面的异常检测，可支持基于用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击；自学习此外，该功能模块还支持通过自学习建立容器的可信进程白名单。自学习入侵检测模块异常处理模块逃逸检测模块病毒木马、网页后门、安全漏洞、反弹shell异常命令、文件异常行为、异常进程入侵检测模块异常处理模块逃逸检测模块病毒木马、网页后门、安全漏洞、反弹shell异常命令、文件异常行为、异常进程容器逃逸风险容器网络安全容器网络安全网络策略连接绘制层网络策略连接绘制层流量监控5G边缘云容器安全系统信息解析基于微隔离技术和K8S的网络策略对容器以及容器应用进行“微服务”级的安全隔离与恶意流量检测。在网络隔离方面，该功能重视“容器网络拓扑”的可视化与“生成网络策略”的自动化。在恶意流量监测方面，该功能模块也同时支持对XSS攻击和SQL注入等攻击流量做检测和阻断。流量监控5G边缘云容器安全系统信息解析redisphpnginxredisphpnginxmysqlPOD1redisphpnginxredisphpnginxmysqlPOD2应用安全应用安全针对5G对于5G边缘云中的容器，可通过部署Agent容器对服务以及API做检测，接着提供接口级以及WAF容器容器WAF容器容器宿主机APPAPPAgent容器集群5GAPPAPPAPPAPP攻击者宿主机安全宿主机安全结合主机安全轻量化Agent，对宿主机进行安全检测、监测和防护。包括宿主机漏洞风险的扫描发现，宿主机入侵威胁实时监测，并对宿主机的资源、性能进行监控，提供对宿主机的合规基线检查。事前高危响应1、从安全运营角度对资产进行清点和发现，实现检测异常、风险评估及关联分析；2、以符合业务运营的视角对资产安全状态进行管理，共同维护资产信息的完整性和准确性。

事中持续攻击1攻击行为分为了七个阶段；2、通过理解和分析模型，构建反杀伤链模型。

事后已被入侵1、梳理入侵分析、应急响应处并获取了系统和设备权限，控制了内网多个主要目标；

弹性安全1、从发现、识别转向快速响应，最终形成闭环；2、增强应急响应与安全联动合规基线合规基线构建基于CIS的Docker、Kubernetes安全操作实践检查基线。可实现⼀键自动化检测，提供可视化基线检查结果和代码级的修复建议。同时，结合企业个性化应用场景，还可为用户提供基线定制开发服务，以快速匹配各行业、各企业安全配置需求。基线模板Docker检测Docker检测Kubernetes检测基线策略Kubernetes检测基线检查Part04

商业化落地产品可视的安全风险可视的安全风险产品破除了容器的封闭性，通过对容器相关资产：镜像、容器、主机镜像深度安全检测，使得容器资产风险一目了然，更加便于管理。深度的镜像体检深度的镜像体检基于10万的CVE5万的webshell库、百万级的病毒的危险操作存在泄密风险容器运行时安全容器运行时安全Part05

应用案例案例1：将解决方案应用于5G边缘云上的K8S集群K8S集群K8S集群Node1Noden……LinuxLinuxAgent防护容器Agent防护容器防护容器服务端Server容器引擎容器n容器1容器引擎容器n容器1案例2：5G边缘云基础设施安全+容器安全+应用安全+态势感知容器安全引擎宿主机容器

容器安全数据推送 态势感知安全大数据分析入侵检测异常处理镜像阻断`````联动处置`````联动处置监控并防护用户主机及容器安全

主机引擎

主机安全数据推送

态势展示资产清点资产清点安全监控合规检查`````案例3：在5G边缘云实施SECaaS，既可保护基础设施，又可对外提供安全服务安全态势感知应急响应

态势层层防御，智能联动，精准拦截网络层

网络工作负载防御·防恶意扫描·防暴力破解·防网络漏洞WEB工作负载防护拦Webshell·保护资源·RASP

容器集群系统层

主机工作负责防护拦病毒·防提权·可疑行为Part06

总结与展望总结与展望容器技术贴合5G边缘云计算场景，发展前景广阔，却也