青藤云安全

深度剖析云原生安全面临的新型风险

2021-09-18

云计算发展进入了新的阶段——云原生时代。以容器、编排和微服务为代表的云原生技术,正在影响各行各业的IT 基础设施、平台和应用系统,也在渗透到如IT/OT融合的工业互联网、IT/CT 融合的5G、边缘计算等新型基础设施中。理解云原生体系存在的新架构、新风险和新威胁,有助于我们构建面向新型IT基础设施的云原生安全防护机制,利用云原生的先进技术,融合到当前的攻防体系中, 也有助于我们提升整体安全防护的弹性、适应性、敏捷性。

本文重点分析云原生架构新增和扩大的安全风险。 

通过使用容器,可以调整组织机构的运营方式和技术流程,支持以全新方式来开发、运行和支持应用,而容器的技术架构又是复杂和多样性的,所以会产生很多风险漏洞。

云原生网络安全风险

主要是通过访问控制粒度过粗引入了权限放大的风险导致越权攻击、网络分离管控不合理增加了横向攻击的风险导致威胁扩展。云原生网络既有南北向流量,也有东西向流量,服务之间的数据流动极其频繁,并且在云原生环境下,多个服务实例共享操作系统,一个存在漏洞,服务被攻陷将会导致运行在同一主机上的其他服务受到影响。如果各服务单元对应的容器组之间、容器网络与物理网络之间没有做好网络权限的分离管控,外网攻击者就能从高风险实例逃逸,伴随东西向流量在集群网络内部的实例之间进行横向攻击,致使威胁在集群内大范围扩散。

云原生编排组件存在漏洞及管控风险

①编排工具自身漏洞导致非法提权和逃逸攻击。非法提权,是指普通用户获得管理员权限或 Web用户直接提权成管理员用户。编排工具可能存在多种漏洞导致此类攻击。

②编排组件不安全配置引起账户管理问题导致系统入侵。编排工具组件众多、各组件配置复杂,配置复杂度的提升增加了不安全配置的概率,而不安全配置引起的风险不容小觑,可能会导致编排工具中帐户管理薄弱,或部分帐户在编排工具中享有很高特权,入侵这些账户可能会导致整个系统遭到入侵。

③不同安全级容器混合部署导致高安全级容器面临入侵风险。编排工具侧重工作负载规模和密度的管理。默认情况下,编排工具可以将不同安全级别的工作负载部署在同一主机上,导致高安全级工作负载面临入侵风险。例如,将运行面向公众 Web 服务器的容器与运行处理敏感财务数据的容器置于同一主机上,在 Web 服务器有严重漏洞的情况下,就会显著提高处理敏感财务数据的容器面临的入侵风险。

④编排组件资源使用不设限加大资源耗尽风险导致拒绝服务攻击。传统虚拟化技术设定明确的CPU、内存和磁盘资源使用阈值,而容器在默认状态下并未对容器内进程的资源使用阈值做限制,以Pod为单位的容器编排管理工具也是如此。资源使用限制的缺失使得云原生环境面临资源耗尽的攻击风险,攻击者可以通过在容器内运行恶意程序,或对容器服务发起拒绝服务攻击占用大量宿主机资源,从而影响宿主机和宿主机上其他容器的正常运行。典型漏洞包括 CVE-2019-11253、CVE-2019-9512、CVE-2019-9514 等。

⑤编排节点访问策略配置不当导致未授权主机非法访问。维护编排环境中各节点之间的信任关系时需要充分考虑依赖和调用关系,编排工具访问策略配置不当可能让编排工具和其上运行的容器技术组件面临极大风险。

镜像构建过程不规范引入自身风险

①镜像更新不及时导致软件漏洞。在传统模式中,部署的软件在其运行的主机上“现场”更新;与此不同,容器则必须在上游的镜像中进行更新,然后重新部署。因此,容器化环境的常见风险之一就是用于创建容器的镜像版本存在漏洞,从而导致所部署的容器存在漏洞。

②镜像配置缺陷导致应用风险增加。镜像配置不当可能会让系统面临攻击危险,例如,镜像未使用特定用户账号进行配置导致运行时拥有的权限过高;镜像含 SSH 守护进程导致容器面临不必要的网络风险等。

③镜像来源不可信注入恶意镜像。镜像及容器技术一个主要的特点就是方便移植和部署,云原生用户可以将符合 OCI 标准的第三方镜像轻松部署到自己的生产环境中。因此,攻击者可将含有恶意程序的镜像上传至公共镜像库,诱导用户下载并在生产环境中部署运行,从而实现其攻击目的。根据目的的不同,常见的恶意镜像有三种类型:一是恶意挖矿镜像,欺骗受害者在机器上部署容器;二是恶意后门镜像,受害者在机器上部署容器后,攻击者收到容器反弹过来的 shell,实现对容器的控制;三是恶意 exploit 镜像,在受害者部署容器后尝试寻找宿主机上的各种漏洞实现容器逃逸,实现对受害者机器的控制。 

镜像仓库模式增加云原生软件供应链风险来源

①镜像仓库漏洞和管理问题带来自身安全风险。镜像仓库安全风险主要涉及仓库账号及其权限的安全管理、镜像存储备份、传输加密、仓库访问记录与审计等,这些方面如果存在加固或配置策略不足的问题,都可能导致镜像仓库面临镜像泄露、篡改、破坏等风险。

②镜像获取通道不安全引入中间人攻击。保证容器镜像从镜像仓库到用户端的完整性是镜像仓库面临的一个重要安全问题。如果用户以明文形式拉取镜像,在与镜像仓库交互的过程中极易遭遇中间人攻击,导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像,从而造成镜像仓库和用户双方的安全风险。 

容器特性增加云原生运行时逃逸风险和威胁范围

无论是Docker容器、还是Kata类安全容器,都暴露过各类逃逸漏洞,逃逸风险对于容器化的云原生场景是一个不可避免的风险面,特别是在多业务系统、多租户环境下,风险更高,直接危害了底层宿主机和整个云计算系统的安全。

①危险配置导致的容器逃逸。用户可以通过修改容器环境配置或在运行容器时指定参数来缩小或扩大约束。如果用户为不完全受控的容器提供了某些危险的配置参数,就为攻击者提供了一定程度的逃逸可能性。包括未授权访问带来的容器逃逸风险,特权模式运行带来的容器逃逸风险。

②危险挂载导致的容器逃逸。将宿主机上的敏感文件或目录挂载到容器内部,尤其是那些不完全受控的容器内部,往往会带来安全问题。在某些特定场景下,为了实现特定功能或方便操作,人们会选择将外部敏感卷挂载入容器。随着应用的逐渐深化,挂载操作变得愈加广泛,由此而来的安全问题也呈现上升趋势。

③相关程序漏洞导致的容器逃逸。相关程序漏洞,指的是那些参与到容器生态中的服务端、客户端程序自身存在的漏洞。

④宿主机内核漏洞导致的容器逃逸。对内核漏洞的利用往往都是从用户空间非法进入内核空间开始,到内核空间赋予当前或其他进程高权限后回到用户空间结束。

⑤安全容器逃逸风险。无论是理论上,还是实践中,安全容器都具有非常高的安全性。

安全容器存在三个漏洞(CVE-2020-2023、CVE-2020-2025 和 CVE-2020-2026)组成漏洞利用链先后进行容器逃逸和虚拟机逃逸,成功从容器内部逃逸到宿主机上的风险。 

以上就是青藤云安全关于容器镜像风险作为云原生安全的主要风险来源之一的详细分析,希望可以让各位伙伴对云原生安全的理解有所帮助。

预测、防御、检测、响应,让安全一触即达

免费试用
电话沟通
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
免费试用 获取资源