记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Linux容器安全探索

2019-03-06 12:20

0x01、业务需求

Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。

在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。

入侵场景:

我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多的安全保护措施。

攻击路径.png

攻击流程如下:

1、攻击者使用RCE漏洞在容器中执行反弹shell。(例如:shellshock CVE-2014-6271)

2、攻击使用容器相关漏洞提权,穿越到运行容器的linux服务器上,横向攻击整个linux集群

3、攻击维持对整个服务器访问权限。

0x02、检测防御方案探讨

一、基础数据收集

我们想要的是如何提升我们对docker中发现的问题的态势感知能力。首先要做一定的数据采集工作。通过这些基础的数据,我们才能聚合分析出安全风告警,进而完成我们对容器的安全期望指标。

假设你的docker部署到公有云环境当中,我们需要监控的日志:

1、API活动监控

2、VPC Flow监控/HTTP日志

3、系统日志监控

然后把数据统一存放在elastic search 中查看或者关联分析。前两项一般公有云都会提供,第三项需要用户自己提供,由于workload在云主机上。所以我们需要对linux审计软件做一下性能影响跟踪。系统监控选取: draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。

屏幕快照 2019-03-03 上午10.57.28.png

根据一下性能指标对比,我们发现轻量级的容器系统监控,没有内核模块的要求。100%使用go语言编程(没有C go集成)更容易完成我们的需求。

提升感知能力:需要从两方面入手,网络流量的可视化,docker内发生的安全事件可视化。

1、网络层面需要收集以下信息:

网络流量.png

2、镜像和主机层面需要收集以下信息:

屏幕快照 2019-03-03 上午10.57.37.png

3、服务器端需要进一步排查分析。确定的安全事件,联动阻断网络通讯。

0x03、总结

为了更好的提升容器安全的感知能力,需要linux容器安全解决方案提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等多维度的安全面的安全防护。当然,还是建议各位看官使用云原生的安全解决方案。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54495.htm
知识来源: https://www.4hou.com/system/16505.html

阅读:70232 | 评论:0 | 标签:系统安全 linux

想收藏或者和大家分享这篇好文章→复制链接地址

“Linux容器安全探索”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云