云安全兩大新能力：攻擊回溯與容器安全

青藤云安全是主打 “自適應(yīng)安全” 理念，專注在 “主機(jī)安全” 的安全初創(chuàng)公司。2014年成立至今，青藤云安全分別在2015年和2018年拿下了6000萬的A輪以及2億元的B輪融資，并連續(xù)三年（2017～2019）作為唯一中國廠商入選Gartner云工作負(fù)載保護(hù)平臺(tái)市場指南。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名與空間、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、山南網(wǎng)站維護(hù)、網(wǎng)站推廣。

2018年對于青藤云安全而言是關(guān)鍵的一年。除了B輪融資到位外，青藤云安全在9月還正式發(fā)布了其首個(gè)重量級(jí)平臺(tái)產(chǎn)品—— 青藤萬相·主機(jī)自適應(yīng)安全平臺(tái) 。萬相以承載業(yè)務(wù)的工作負(fù)載流為核心，對主機(jī)上的資產(chǎn)、狀態(tài)、關(guān)鍵活動(dòng)等進(jìn)行感知，并生成安全指標(biāo)，用于持續(xù)分析和風(fēng)險(xiǎn)發(fā)現(xiàn)，且適配物理機(jī)、虛擬機(jī)和云環(huán)境。11月，青藤云安全還和騰訊安全正式達(dá)成戰(zhàn)略合作，作為可選安全組件（天眼云鏡）出現(xiàn)在騰訊云的私有云標(biāo)準(zhǔn)方案中。

更多認(rèn)可：以主機(jī)agent的形式來做安全

青藤云安全雖然是安全初創(chuàng)企業(yè)，但也有了4年多的 歷史 。讓張福引以為傲，也最讓他放心不下的，是青藤云安全選擇的這條技術(shù)路線，即不以流量分析為主，而是通過在物理主機(jī)安裝輕量級(jí)agent的形式，選擇這樣一個(gè)位置來做安全。

青藤萬相核心架構(gòu)

自適應(yīng)安全架構(gòu)的四個(gè)能力象限，預(yù)測-檢測-防御-響應(yīng)，青藤云安全看準(zhǔn)的 “檢測” 能力。但和目前主流的檢測思路不同，扎根于 “攻防理念” 的思路因缺乏足夠深度和全面的可見性，對自身和攻擊的理解都不足。如果要足夠清晰、準(zhǔn)確的認(rèn)識(shí)自身、攻擊及其帶來的影響，張福認(rèn)為，需要足夠扎實(shí)的感知能力作為支撐。而實(shí)現(xiàn)此的技術(shù)方式，就是在物理主機(jī)上安裝agent，以此為 “據(jù)點(diǎn)” 收集信息。己方的、敵方的，以及攻擊者試圖抹除的。

但從客戶的角度，擔(dān)憂也很明顯。主機(jī)agent的形式，雖然安全離威脅近了，但安全離業(yè)務(wù)也近了。如果安全產(chǎn)品成熟度不夠，出現(xiàn)了問題，導(dǎo)致了業(yè)務(wù)系統(tǒng)受到負(fù)面影響甚至服務(wù)中斷，那么客戶的安全或IT負(fù)責(zé)人，必不可少要承擔(dān)更多的責(zé)任。

可以看到，安全工作中的平衡，體現(xiàn)在方方面面。

2018年，客戶的反饋，以及業(yè)界對基于主機(jī)的產(chǎn)品形態(tài)的跟進(jìn)，張福坦言，讓他輕松了許多。

先說客戶。客戶對這種形式的顧慮，從2018年大量的反饋來看，張福認(rèn)為已經(jīng)開始減少。這個(gè)轉(zhuǎn)變，得益于數(shù)字化轉(zhuǎn)型的趨勢，讓客戶越來越認(rèn)識(shí)到云化后安全對于業(yè)務(wù)的重要性。

“

之前更多是合規(guī)市場，滿足基線即可。同時(shí)，因?yàn)闃I(yè)務(wù)系統(tǒng)的開放性相對較弱，所以給對手留下的攻擊面也小很多。但上云后，一切都不一樣了。安全對業(yè)務(wù)的支撐和影響變得更加重要，對更好的安全能力，而不只是部署了哪些產(chǎn)品的需求，更加強(qiáng)烈。

無疑，從主機(jī)這個(gè)離（業(yè)務(wù)）數(shù)據(jù)、威脅都更近的的位置來做安全，效果會(huì)比純粹的流量檢測更好。這也滿足了客戶的需求。而青藤云安全對產(chǎn)品成熟度的追求，以及產(chǎn)品部署后持續(xù)維護(hù)、改進(jìn)的大量投入，則最大程度減少了客戶對 “可能給業(yè)務(wù)系統(tǒng)造成負(fù)面影響” 的憂慮。

而這兩點(diǎn)，也是張福認(rèn)為，除了技術(shù)思路外，自身產(chǎn)品能力重要的優(yōu)勢所在。

這兩個(gè)重要優(yōu)勢，張福認(rèn)為也得益于另一個(gè)點(diǎn)，就是青藤云安全的產(chǎn)品打磨思路。據(jù)張福介紹，青藤云安全的產(chǎn)品從研發(fā)到銷售，不是傳統(tǒng)廠商等產(chǎn)品足夠成熟后再尋找客戶的思路，而是在初具雛形時(shí)就會(huì)在國內(nèi)尋找愿意嘗試新的技術(shù)思路、有一定程度容錯(cuò)能力的客戶，通過產(chǎn)品在客戶的真實(shí)IT環(huán)境中，不斷進(jìn)行產(chǎn)品成熟度的打磨。例如招商銀行、平安 科技 ，據(jù)張福介紹，都是自身安全實(shí)踐和理解都走在比較靠前的兩個(gè)青藤云安全的重要客戶。

再談?wù)剺I(yè)界。

眾所周知，青藤云安全連續(xù)多年在Gartner的云工作負(fù)載保護(hù)平臺(tái)市場指南榜上有名，對業(yè)內(nèi)的技術(shù)趨勢青藤云安全也一直跟的很緊。對青藤而言，業(yè)界的主流產(chǎn)品形態(tài)的改變，意味著對青藤云安全的技術(shù)路線選擇的一種印證。

張福表示，近兩年的行業(yè)會(huì)議，RSA、ISC等，EDR的崛起，特別是如CrowdStrike等廠商，依托主機(jī)側(cè)輕量級(jí)代理的的形式實(shí)現(xiàn)的入侵檢測和響應(yīng)能力，正逐漸成為業(yè)界廠商的主流思路。

“

從產(chǎn)品角度，主機(jī)安全不應(yīng)是一系列產(chǎn)品，而是一個(gè)核心做安全的位置。就像網(wǎng)絡(luò)安全這四個(gè)字，有一層重要含義，就是在網(wǎng)絡(luò)層來做安全。主機(jī)安全，業(yè)界目前的主流思路和我們一致，就是要通過在主機(jī)上安裝agent來做。而且，可以看到，安全能力正在從傳統(tǒng)的網(wǎng)絡(luò)側(cè)移向主機(jī)側(cè)，通過 ‘位置’ 的改變，實(shí)現(xiàn)能力的跨越式提升。這個(gè)趨勢已經(jīng)可以明顯的感受到。這會(huì)是整個(gè)產(chǎn)業(yè)的一個(gè)大升級(jí)。

2018年，青藤云安全發(fā)布了其重要的平臺(tái)級(jí)產(chǎn)品 “萬相”，在產(chǎn)品成熟度、客戶和業(yè)界的接受度上，張福認(rèn)為已經(jīng)達(dá)到了預(yù)期；2019年，張福表示，首先，要基于“萬相”這個(gè)平臺(tái)，在產(chǎn)品能力上有所提升，真正解決客戶問題。比如說弱口令的發(fā)現(xiàn)，這個(gè)需求看似很簡單，而且有多家掃描器支持，但是實(shí)際情況是因?yàn)榉?wù)器對口令嘗試頻率的限制，效果并不好。但是如果通過主機(jī)agent做類似“白盒”的底層解析，不僅效率高，而且能夠查出之前大量的漏報(bào)。

之后，就是新產(chǎn)品的方向。

青藤云安全不是銷售導(dǎo)向的公司，所以張福始終認(rèn)為做產(chǎn)品要“克制”，要謹(jǐn)慎，并且多年持續(xù)投入打造產(chǎn)品的準(zhǔn)備。

上一個(gè)系列，青藤云安全的產(chǎn)品能力傾向感知或者說威脅發(fā)現(xiàn)；下一個(gè)，張福目前有兩個(gè)計(jì)劃，一是補(bǔ)足感知之后的分析能力，二是基于主機(jī)agent技術(shù)的積累，擴(kuò)充一個(gè)安全場景。

新能力：攻擊回溯與容器安全

先介紹要補(bǔ)充的分析能力。

青藤云安全最新發(fā)布的 青藤星池·大數(shù)據(jù)分析平臺(tái) ，定位在攻擊場景的回溯分析，是青藤云安全威脅感知能力的延伸。

青藤云安全之前在威脅感知有多年的積累，其萬相平臺(tái)的 “資產(chǎn)清點(diǎn)、漏洞發(fā)現(xiàn)、入侵檢測等“ 能力是典型代表。有了這些積累，下一步，張福認(rèn)為，要補(bǔ)充分析能力。用張福的話說，是根據(jù)這些感知能力提供的線索，把整個(gè)攻擊的過程回溯出來。

“

一旦發(fā)生安全事件，客戶高層第一時(shí)間關(guān)心的并不會(huì)是誰攻擊了我，或是他怎么進(jìn)來的，而是我損失了什么。因?yàn)橐晸p失的內(nèi)容，后續(xù)的處置，包括問責(zé)、懲罰等，都可大可小。更嚴(yán)重的是，攻擊者是否已經(jīng)窺探、甚至拿到了一些高敏感數(shù)據(jù)。這些問題，之前大量的安全產(chǎn)品都是回答不了的，因?yàn)槿狈σ曇啊Ｖ鳈C(jī)上的agent，我認(rèn)為是必備基礎(chǔ)。

簡單理解，和攻擊溯源的目的不同，“星池”是利用大數(shù)據(jù)分析的相關(guān)技術(shù)，還原整個(gè)攻擊鏈，特別是從客戶資產(chǎn)的角度，記錄攻擊者的行為軌跡，明確客戶的損失。

“

不僅要能快速、準(zhǔn)確的發(fā)現(xiàn)攻擊，也要高效地搞清來龍去脈，從感知到分析，對于青藤這是重要的能力延展。未來，我們還會(huì)融入處置響應(yīng)的能力。實(shí)現(xiàn)安全閉環(huán)，才能更好的幫助客戶提升安全能力。當(dāng)然，這個(gè)閉環(huán)青藤不一定都要自己做，我們是非常開放而且看重合作的。青藤只做我們認(rèn)為客戶缺失的（能力），是要讓客戶的安全能力達(dá)到應(yīng)有的高度，而不是搶市場，重復(fù)解決問題，甚至劣幣驅(qū)逐良幣。

容器安全是另一個(gè)新場景。

張福認(rèn)為，容器是云計(jì)算的未來。國內(nèi)很多互聯(lián)網(wǎng)、金融行業(yè)的客戶，都在快速擁抱容器。可以預(yù)見，容器將會(huì)很快成為主流的基礎(chǔ)設(shè)施形態(tài)。

容器是一個(gè)新技術(shù)，而且使用便捷，但不代表安全問題就會(huì)少。張福表示，從云主機(jī)到容器，安全問題反而是有增無減，因?yàn)槟壳伴_發(fā)者更多還是在容器功能性上的完善。比如容器鏡像的后門問題，幾乎沒有有效可靠的檢測方法。反觀業(yè)界，專注容器安全的廠商并不多；同時(shí)，思路幾乎都是基于容器間的流量分析來做，像是傳統(tǒng)的IPS放在容器這個(gè)形態(tài)下。但只是這樣，張福認(rèn)為能力深度并不夠。

“

青藤做容器安全是很天然的，因?yàn)槲覀兯哪甓嗟姆e累都在主機(jī)側(cè)，80%以上的技術(shù)經(jīng)過對容器的重新適配后都可以復(fù)用。

據(jù)了解，青藤云安全的 容器安全產(chǎn)品“蜂巢” ，只需要在承載容器的物理機(jī)上安裝agent，就可以將安全能力做到容器內(nèi)進(jìn)程行為的深度；同時(shí)在管理上，“蜂巢”可以在萬相平臺(tái)上進(jìn)行統(tǒng)一管理，方便客戶將安全能力和策略隨著業(yè)務(wù)在各形態(tài)間遷移。

張福表示，客戶在使用容器的時(shí)候就已經(jīng)在考慮安全問題了，這是之前做安全不具備的條件。青藤云安全的核心是保證工作負(fù)載（workload）的安全，無論它的形態(tài)是怎樣。主機(jī)agent的形式，張福認(rèn)為在容器這個(gè)場景下也是有足夠優(yōu)勢和獨(dú)特競爭力的。后續(xù)，也會(huì)把容器間的流量分析作為補(bǔ)充能力加入，成為一個(gè)綜合性產(chǎn)品。

不可否認(rèn)，目前，容器安全在中國還是早期市場。所以，對于“蜂巢”，青藤云安全的思路更多還是進(jìn)行開放行的測試，為后續(xù)產(chǎn)品化的過程做鋪墊。

“

首先，‘蜂巢’ 會(huì)支持應(yīng)用較為廣泛的開源容器，比如docker、國內(nèi)的靈雀云，并開放給在容器的應(yīng)用走在前面，有大量應(yīng)用場景而且愿意和我們合作的客戶，幫助我們不斷的改進(jìn)，一起成長。這也是產(chǎn)品化過程所必須要有的投入，我們的目標(biāo)是在3-4年后，成為容器安全領(lǐng)域的領(lǐng)先者。

等保2.0：云安全合規(guī)解讀

此外，作為國內(nèi)的安全企業(yè)，青藤云安全也必須要足夠重視合規(guī)的市場需求，特別是在5月13日正式發(fā)布等級(jí)保護(hù)2.0一系列標(biāo)準(zhǔn)后。

云計(jì)算系統(tǒng)網(wǎng)絡(luò)架構(gòu)是扁平化的，業(yè)務(wù)應(yīng)用系統(tǒng)與硬件平臺(tái)松耦合。所以，首先，在云計(jì)算系統(tǒng)邊界劃分上，存在兩個(gè)典型場景：一是業(yè)務(wù)應(yīng)用不獨(dú)占硬件物理資源的情況，定級(jí)系統(tǒng)的邊界應(yīng)劃在虛擬邊界處；二是業(yè)務(wù)應(yīng)用對應(yīng)的系統(tǒng)模塊存在相對獨(dú)立的底層服務(wù)和硬件資源，系統(tǒng)邊界劃分到硬件物理設(shè)備上。

其次是在安全責(zé)任及定級(jí)方面。程度認(rèn)為，要綜合考慮被測系統(tǒng)是云計(jì)算平臺(tái)還是業(yè)務(wù)應(yīng)用系統(tǒng)，以及被測系統(tǒng)的服務(wù)模式，來判斷不同的安全責(zé)任。

此外，在定級(jí)過程中還需注意下面4點(diǎn)：

1. 云計(jì)算平臺(tái)安全保護(hù)等級(jí)，原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)。

2. 國家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計(jì)算平臺(tái)）的安全保護(hù)等級(jí)應(yīng)不低于第三極。

3. 在云計(jì)算環(huán)境中，應(yīng)將云資源平臺(tái)作為單獨(dú)定級(jí)對象，云租戶側(cè)的等級(jí)保護(hù)對象也應(yīng)作為單獨(dú)的定級(jí)對象定級(jí)。

4. 對于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對象。

在建設(shè)整改方面，云等保中增加了虛擬化、云管理平臺(tái)、鏡像文件等云計(jì)算獨(dú)有內(nèi)容，并強(qiáng)調(diào)安全能力在云平臺(tái)建設(shè)中的集成。在平臺(tái)內(nèi)部，強(qiáng)調(diào)通訊加密與認(rèn)證、動(dòng)態(tài)監(jiān)測預(yù)警、快速應(yīng)急響應(yīng)能力建設(shè)、安全產(chǎn)品合規(guī)等能力要求。

據(jù)了解，青藤云安全已經(jīng)推出針對云等保2.0中安全計(jì)算環(huán)境部分的解決方案，覆蓋通用要求中身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范，以及資源控制六個(gè)部分。

相關(guān)閱讀

這家初創(chuàng)公司做自適應(yīng)安全

騰訊安全與青藤云安全：高安全能力與創(chuàng)新安全公司的結(jié)合

金融行業(yè)中容器技術(shù)被泛接受和使用，容器安全將要面臨哪些問題？

容器有多安全?

很多人認(rèn)為，容器比虛擬機(jī)安全性更低，因?yàn)槿绻萜髦鳈C(jī)內(nèi)核存在漏洞，那么它可以提供一種進(jìn)入共享它的容器的方法。管理程序也是如此，但由于管理程序提供遠(yuǎn)遠(yuǎn)少于Linux內(nèi)核(通常實(shí)現(xiàn)文件系統(tǒng)，網(wǎng)絡(luò)，應(yīng)用程序進(jìn)程控制等)的功能，因此它的攻擊面更小。

但是在過去的幾年里，為了增強(qiáng)容器的安全性開發(fā)了大量的軟件。

例如，Docker(和其它容器系統(tǒng))現(xiàn)在包括一個(gè)簽名的基礎(chǔ)架構(gòu)，允許管理員簽署容器鏡像，以防止不可信的容器被部署。

然而，可信任的簽名容器不一定可以安全運(yùn)行，因?yàn)樵诤灻笕萜髦械囊恍┸浖赡軙?huì)被發(fā)現(xiàn)漏洞。因此，Docker和其它容器提供容器安全掃描方案，可以就容器鏡像是否有任何可被利用的漏洞而通知管理員。

更專業(yè)的容器安全軟件也被開發(fā)出來了。比如Twistlock，它提供的軟件可以配置容器的預(yù)期行為和“白名單”進(jìn)程，網(wǎng)絡(luò)活動(dòng)(如源和目標(biāo)IP地址和端口)，甚至是某些存儲(chǔ)實(shí)踐，以便可以標(biāo)記任何惡意的或意外的行為。

另一家專業(yè)的容器安全公司Polyverse采用了不同的方法。它利用了這樣一個(gè)事實(shí)，容器可以在幾分之一秒內(nèi)啟動(dòng)，以便每隔幾秒在已知的良好狀態(tài)中重新啟動(dòng)容器化應(yīng)用程序，將黑客必須利用在容器中運(yùn)行的應(yīng)用程序的時(shí)間最小化。

哪一個(gè)Linux發(fā)行版適合用作容器主機(jī)?

如果Linux發(fā)行版的預(yù)期用途只是充當(dāng)容器主機(jī)來運(yùn)行容器，那么它們大多數(shù)都是功能上臃腫的。因此，很多Linux發(fā)行版本被設(shè)計(jì)為專門用于運(yùn)行容器。

一些例子包括：

·Container Linux(以前的CoreOS Linux)—為容器而構(gòu)建的第一個(gè)輕量級(jí)容器操作系統(tǒng)之一。

·RancherOS –由容器構(gòu)建的簡化的Linux發(fā)行版，專門用于運(yùn)行容器。

·Photon OS - 最小的Linux容器主機(jī)，被優(yōu)化在VMware平臺(tái)上運(yùn)行。

·Project Atomic Host - Red Hat的輕量級(jí)容器操作系統(tǒng)擁有基于CentOS和Fedora的版本，Red Hat Enterprise Linux中還有一個(gè)下游企業(yè)版本。

·Ubuntu Core - 最小的Ubuntu版本，Ubuntu Core被設(shè)計(jì)為用于物聯(lián)網(wǎng)設(shè)備和大規(guī)模云端容器部署的主機(jī)操作系統(tǒng)

如果是Windows環(huán)境會(huì)怎么樣?

除了在任何運(yùn)行3.10(或更高版本)的Linux內(nèi)核的Linux發(fā)行版上運(yùn)行，Docker還可以在Windows上運(yùn)行。

這是因?yàn)樵?016年，微軟在Windows Server 2016和Windows 10中引入了運(yùn)行Windows容器的能力。這些是為Windows設(shè)計(jì)的Docker容器，并且它們可以在任何Docker客戶端或微軟的PowerShell中進(jìn)行管理。

(微軟還引入了Hyper-V容器，這些容器是運(yùn)行在Hyper-V虛擬機(jī)中的Windows容器，用于增加隔離度。)

Windows容器可以部署在Windows Server 2016的標(biāo)準(zhǔn)安裝中，精簡的Server Core安裝或Nano Server安裝選項(xiàng)，專門用于在容器或虛擬機(jī)中運(yùn)行應(yīng)用程序。

除了Linux和Windows之外，Docker還在流行的云平臺(tái)上運(yùn)行，包括亞馬遜的EC2，谷歌的 Compute Engine，微軟的Azure和Rackspace。

容器最終會(huì)取代全面的服務(wù)器虛擬化嗎?

由于一些重要的原因，這在可預(yù)見的未來不太可能。

首先，仍然有廣泛的意見認(rèn)為虛擬機(jī)比容器提供了更高的安全性，因?yàn)樗鼈兲峁┝嗽鰪?qiáng)的隔離級(jí)別。

其次，可用于編排大量容器的管理工具還不如管理虛擬化基礎(chǔ)架構(gòu)的軟件(如VMware的 vCenter或微軟的System Center)全面。對這類軟件進(jìn)行了大量投資的公司在沒有充分理由的情況下不太可能放棄他們的虛擬化基礎(chǔ)架構(gòu)。

也許更重要的是，虛擬化和容器也開始被視為互補(bǔ)技術(shù)而不是敵對技術(shù)。這是因?yàn)槿萜骺梢栽谳p量級(jí)虛擬機(jī)中運(yùn)行，以增加隔離度，進(jìn)而提高安全性，并且因?yàn)橛布摂M化可以更輕松地管理支持容器所需的硬件基礎(chǔ)架構(gòu)(網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ))。

VMware鼓勵(lì)投資虛擬機(jī)管理基礎(chǔ)架構(gòu)的客戶在其輕量級(jí)虛擬機(jī)上的Photon OS容器Linux發(fā)行版上運(yùn)行容器，而這些輕量級(jí)的虛擬機(jī)可以在vCenter進(jìn)行管理。這是VMware的“VM中的容器”策略。

但是，VMware還引入了所謂的vSphere集成容器(vSphere Integrated Containers ，VIC)。這些容器可以被直接部署到獨(dú)立的ESXi主機(jī)，也可以像虛擬機(jī)一樣被部署到vCenter Server。這是VMware的“容器作為虛擬機(jī)”策略。

這兩種方法都有其優(yōu)點(diǎn)，但重要的是，能夠在虛擬化基礎(chǔ)架構(gòu)中使用容器而不是替換虛擬機(jī)，這往往是很有用的。

常見的容器安全威脅有哪些？

以Docker 容器的安全問題為例

(1) Docker 自身安全

Docker 作為一款容器引擎，本身也會(huì)存在一些安全漏洞，CVE 目前已經(jīng)記錄了多項(xiàng)與 Docker 相關(guān)的安全漏洞，主要有權(quán)限提升、信息泄露等幾類安全問題。

(2) 鏡像安全

由于Docker 容器是基于鏡像創(chuàng)建并啟動(dòng)，因此鏡像的安全直接影響到容器的安全。具體影響鏡像安全的總結(jié)如下。

鏡像軟件存在安全漏洞：由于容器需要安裝基礎(chǔ)的軟件包，如果軟件包存在漏洞，則可能會(huì)被不法分子利用并且侵入容器，影響其他容器或主機(jī)安全。

倉庫漏洞：無論是Docker 官方的鏡像倉庫還是我們私有的鏡像倉庫，都有可能被攻擊，然后篡改鏡像，當(dāng)我們使用鏡像時(shí)，就可能成為攻擊者的目標(biāo)對象。

用戶程序漏洞：用戶自己構(gòu)建的軟件包可能存在漏洞或者被植入惡意腳本，這樣會(huì)導(dǎo)致運(yùn)行時(shí)提權(quán)影響其他容器或主機(jī)安全。

(3) Linux 內(nèi)核隔離性不夠

盡管目前Namespace 已經(jīng)提供了非常多的資源隔離類型，但是仍有部分關(guān)鍵內(nèi)容沒有被完全隔離，其中包括一些系統(tǒng)的關(guān)鍵性目錄（如 /sys、/proc 等），這些關(guān)鍵性的目錄可能會(huì)泄露主機(jī)上一些關(guān)鍵性的信息，讓攻擊者利用這些信息對整個(gè)主機(jī)甚至云計(jì)算中心發(fā)起攻擊。

而且僅僅依靠Namespace 的隔離是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)橐坏﹥?nèi)核的 Namespace 被突破，使用者就有可能直接提權(quán)獲取到主機(jī)的超級(jí)權(quán)限，從而影響主機(jī)安全。

(4) 所有容器共享主機(jī)內(nèi)核

由于同一宿主機(jī)上所有容器共享主機(jī)內(nèi)核，所以攻擊者可以利用一些特殊手段導(dǎo)致內(nèi)核崩潰，進(jìn)而導(dǎo)致主機(jī)宕機(jī)影響主機(jī)上其他服務(wù)。

既然容器有這么多安全上的問題，那么我們應(yīng)該如何做才能夠既享受到容器的便利性同時(shí)也可以保障容器安全呢？下面我?guī)銇碇鸩搅私庀氯绾谓鉀Q容器的安全問題。

如何解決容器的安全問題？

(1) Docker 自身安全性改進(jìn)

事實(shí)上，Docker 從 2013 年誕生到現(xiàn)在，在安全性上面已經(jīng)做了非常多的努力。目前 Docker 在默認(rèn)配置和默認(rèn)行為下是足夠安全的。

Docker 自身是基于 Linux 的多種 Namespace 實(shí)現(xiàn)的，其中有一個(gè)很重要的 Namespace 叫作 User Namespace，User Namespace 主要是用來做容器內(nèi)用戶和主機(jī)的用戶隔離的。在過去容器里的 root 用戶就是主機(jī)上的 root 用戶，如果容器受到攻擊，或者容器本身含有惡意程序，在容器內(nèi)就可以直接獲取到主機(jī) root 權(quán)限。Docker 從 1.10 版本開始，使用 User Namespace 做用戶隔離，實(shí)現(xiàn)了容器中的 root 用戶映射到主機(jī)上的非 root 用戶，從而大大減輕了容器被突破的風(fēng)險(xiǎn)。

因此，我們盡可能地使用Docker 最新版本就可以得到更好的安全保障。

(2) 保障鏡像安全

為保障鏡像安全，我們可以在私有鏡像倉庫安裝鏡像安全掃描組件，對上傳的鏡像進(jìn)行檢查，通過與CVE 數(shù)據(jù)庫對比，一旦發(fā)現(xiàn)有漏洞的鏡像及時(shí)通知用戶或阻止非安全鏡像繼續(xù)構(gòu)建和分發(fā)。同時(shí)為了確保我們使用的鏡像足夠安全，在拉取鏡像時(shí)，要確保只從受信任的鏡像倉庫拉取，并且與鏡像倉庫通信一定要使用 HTTPS 協(xié)議。

(3) 加強(qiáng)內(nèi)核安全和管理

由于僅僅依賴內(nèi)核的隔離可能會(huì)引發(fā)安全問題，因此我們對于內(nèi)核的安全應(yīng)該更加重視。可以從以下幾個(gè)方面進(jìn)行加強(qiáng)。

宿主機(jī)及時(shí)升級(jí)內(nèi)核漏洞

宿主機(jī)內(nèi)核應(yīng)該盡量安裝最新補(bǔ)丁，因?yàn)楦碌膬?nèi)核補(bǔ)丁往往有著更好的安全性和穩(wěn)定性。

使用Capabilities 劃分權(quán)限

Capabilities 是 Linux 內(nèi)核的概念，Linux 將系統(tǒng)權(quán)限分為了多個(gè) Capabilities，它們都可以單獨(dú)地開啟或關(guān)閉，Capabilities 實(shí)現(xiàn)了系統(tǒng)更細(xì)粒度的訪問控制。

容器和虛擬機(jī)在權(quán)限控制上還是有一些區(qū)別的，在虛擬機(jī)內(nèi)我們可以賦予用戶所有的權(quán)限，例如設(shè)置cron 定時(shí)任務(wù)、操作內(nèi)核模塊、配置網(wǎng)絡(luò)等權(quán)限。而容器則需要針對每一項(xiàng) Capabilities 更細(xì)粒度的去控制權(quán)限，例如：

cron 定時(shí)任務(wù)可以在容器內(nèi)運(yùn)行，設(shè)置定時(shí)任務(wù)的權(quán)限也僅限于容器內(nèi)部；

由于容器是共享主機(jī)內(nèi)核的，因此在容器內(nèi)部一般不允許直接操作主機(jī)內(nèi)核；

容器的網(wǎng)絡(luò)管理在容器外部，這就意味著一般情況下，我們在容器內(nèi)部是不需要執(zhí)行ifconfig、route等命令的 。

由于容器可以按照需求逐項(xiàng)添加Capabilities 權(quán)限，因此在大多數(shù)情況下，容器并不需要主機(jī)的 root 權(quán)限，Docker 默認(rèn)情況下也是不開啟額外特權(quán)的。

最后，在執(zhí)行docker run命令啟動(dòng)容器時(shí)，如非特殊可控情況，–privileged 參數(shù)不允許設(shè)置為 true，其他特殊權(quán)限可以使用 --cap-add 參數(shù)，根據(jù)使用場景適當(dāng)添加相應(yīng)的權(quán)限。

使用安全加固組件

Linux 的 SELinux、AppArmor、GRSecurity 組件都是 Docker 官方推薦的安全加固組件。下面我對這三個(gè)組件做簡單介紹。

SELinux (Secure Enhanced Linux): 是 Linux 的一個(gè)內(nèi)核安全模塊，提供了安全訪問的策略機(jī)制，通過設(shè)置 SELinux 策略可以實(shí)現(xiàn)某些進(jìn)程允許訪問某些文件。

AppArmor: 類似于 SELinux，也是一個(gè) Linux 的內(nèi)核安全模塊，普通的訪問控制僅能控制到用戶的訪問權(quán)限，而 AppArmor 可以控制到用戶程序的訪問權(quán)限。

GRSecurity: 是一個(gè)對內(nèi)核的安全擴(kuò)展，可通過智能訪問控制，提供內(nèi)存破壞防御，文件系統(tǒng)增強(qiáng)等多種防御形式。

這三個(gè)組件可以限制一個(gè)容器對主機(jī)的內(nèi)核或其他資源的訪問控制。目前，容器報(bào)告的一些安全漏洞中，很多都是通過對內(nèi)核進(jìn)行加強(qiáng)訪問和隔離來實(shí)現(xiàn)的。

資源限制

在生產(chǎn)環(huán)境中，建議每個(gè)容器都添加相應(yīng)的資源限制。下面給出一些執(zhí)行docker run命令啟動(dòng)容器時(shí)可以傳遞的資源限制參數(shù)：

1??--cpus ?????????????????????????限制 CPU 配額

2??-m, --memory ???????????????????限制內(nèi)存配額

3??--pids-limit ???????????????????限制容器的 PID 個(gè)數(shù)

例如我想要啟動(dòng)一個(gè)1 核 2G 的容器，并且限制在容器內(nèi)最多只能創(chuàng)建 1000 個(gè) PID，啟動(dòng)命令如下：

1 ?$ docker run -it --cpus=1 -m=2048m --pids-limit=1000 busybox sh

推薦在生產(chǎn)環(huán)境中限制CPU、內(nèi)存、PID 等資源，這樣即便應(yīng)用程序有漏洞，也不會(huì)導(dǎo)致主機(jī)的資源完全耗盡，最大限度降低安全風(fēng)險(xiǎn)。

(4) 使用安全容器

容器有著輕便快速啟動(dòng)的優(yōu)點(diǎn)，虛擬機(jī)有著安全隔離的優(yōu)點(diǎn)，有沒有一種技術(shù)可以兼顧兩者的優(yōu)點(diǎn)，做到既輕量又安全呢？

答案是有，那就是安全容器。安全容器是相較于普通容器的，安全容器與普通容器的主要區(qū)別在于，安全容器中的每個(gè)容器都運(yùn)行在一個(gè)單獨(dú)的微型虛擬機(jī)中，擁有獨(dú)立的操作系統(tǒng)和內(nèi)核，并且有虛擬化層的安全隔離。

安全容器目前推薦的技術(shù)方案是Kata Containers，Kata Container 并不包含一個(gè)完整的操作系統(tǒng)，只有一個(gè)精簡版的 Guest Kernel 運(yùn)行著容器本身的應(yīng)用，并且通過減少不必要的內(nèi)存，盡量共享可以共享的內(nèi)存來進(jìn)一步減少內(nèi)存的開銷。另外，Kata Container 實(shí)現(xiàn)了 OCI 規(guī)范，可以直接使用 Docker 的鏡像啟動(dòng) Kata 容器，具有開銷更小、秒級(jí)啟動(dòng)、安全隔離等許多優(yōu)點(diǎn)。

如何提高服務(wù)器的安全性？

1、系統(tǒng)漏洞的修復(fù)

安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫優(yōu)化

針對數(shù)據(jù)密碼和數(shù)據(jù)庫端口訪問都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫暴露在公網(wǎng)訪問環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊表優(yōu)化

注冊表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓，硬盤空間不足，需要我們定期進(jìn)行清理。

文章題目：存儲(chǔ)服務(wù)器的容器安全 存儲(chǔ)服務(wù)器的容器安全性怎么樣
本文路徑：http://vcdvsql.cn/article46/dopgoeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、Google、網(wǎng)站內(nèi)鏈、、服務(wù)器托管、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)