Linux容器安全探索

0x01、業務需求

Linux容器技術通過共享主機操作系統內核，實現輕量的資源虛擬化和隔離，近年來在 DevOps、微服務、公有雲服務等領域有著廣泛的應用。然而在容器技術被廣泛接受和使用的同時，容器以及容器運行環境的安全成為了亟待研究和解決的問題。為了更真實的了解容器方面的安全場景以及應對手段，做了以下技術探討。

在日常的安全工作當中，在態勢感知平台，全流量檢測系統中，我們發現有外聯DGA域名、C2地址、挖礦的情況的資產地址並非雲主機本身，而是雲主機上運行的docker鏡像或者k8s環境上的docker鏡像。根據以上發現，我們做了深入研究。

入侵場景：

攻擊流程如下：

1、攻擊者使用RCE漏洞在容器中執行反彈shell。（例如：shellshock CVE-2014-6271）

2、攻擊使用容器相關漏洞提權，穿越到運行容器的linux伺服器上，橫向攻擊整個linux集群

3、攻擊維持對整個伺服器訪問許可權。

0x02、檢測防禦方案探討

一、基礎數據收集

我們想要的是如何提升我們對docker中發現的問題的態勢感知能力。首先要做一定的數據採集工作。通過這些基礎的數據，我們才能聚合分析出安全風告警，進而完成我們對容器的安全期望指標。

假設你的docker部署到公有雲環境當中，我們需要監控的日誌：

1、API活動監控

2、VPC Flow監控/HTTP日誌

3、系統日誌監控

然後把數據統一存放在elastic search 中查看或者關聯分析。前兩項一般公有雲都會提供，第三項需要用戶自己提供，由於workload在雲主機上。所以我們需要對linux審計軟體做一下性能影響跟蹤。系統監控選取： draios/sysdig、facebook/osquery、iovisor/gobpf、slackhq/go-audit等。

根據一下性能指標對比，我們發現輕量級的容器系統監控，沒有內核模塊的要求。100%使用go語言編程（沒有C go集成）更容易完成我們的需求。

提升感知能力：需要從兩方面入手，網路流量的可視化，docker內發生的安全事件可視化。

2、鏡像和主機層面需要收集以下信息：

3、伺服器端需要進一步排查分析。確定的安全事件，聯動阻斷網路通訊。

0x03、總結

為了更好的提升容器安全的感知能力，需要linux容器安全解決方案提供實時深入的容器網路可視化、東西向容器網路監控、主動隔離和保護、容器主機安全等多維度的安全面的安全防護。當然，還是建議各位看官使用雲原生的安全解決方案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！