容器是一个软件包,其中包含在任何操作系统和基础架构上运行所需的所有依赖项,包括代码、配置文件、库和系统工具。每个容器都包含一个运行时环境,使应用程序能够在各种计算环境之间迁移——例如,从物理机迁移到云。
容器提供了许多好处,但也带来了重大的安全挑战。容器存在一个新的攻击面,需要不同的安全措施、响应策略和取证方法。容器事件响应是响应容器安全事件的标准化方法。
事件响应是一项安全功能,涉及检测影响网络资源和信息资产的安全事件,并采取适当的步骤来评估和补救。安全事件可以是恶意软件感染(malware infection)、凭据泄露和数据库泄露。容器事件响应有助于阻止、遏制、修复和防止针对容器化工作负载的安全威胁。
为什么容器安全如此重要
容器被广泛用作DevOps流水线(DevOps pipelines)中的轻量级构建块(lightweight building blocks),使容器安全成为现代 IT 安全策略的重要组成部分。同虚拟机 (VM) 一样,容器包含运行应用程序所需的一切——代码、程序运行时环境(runtime)、工具、库、配置信息——无论环境如何,按照操作系统中的设计运行。与 VM 不同,它具有高度可移植性,启动速度更快,并且消耗的资源少得多。
容器容易受到可以绕过主机隔离的恶意进程的攻击。此外,容器基于可能被攻击者篡改或可能包含旧的或易受攻击的软件组件的镜像。当容器不安全时,它们可以在容器内运行其他未经授权的容器和应用程序,并且在极端情况下,可以允许攻击者破坏主机和整个容器集群。
为什么取证在云原生环境中有所不同
一般来说,取证是信息安全的重要组成部分,尤其是事件响应。这是一个新兴领域,现在有以DFIR(数字取证和事件响应)为中心的专业工具和安全认证。
当可疑事件发生时,安全分析必须执行快速取证并调查以了解发生了什么,确定事件是否代表真正的安全事件,并收集遏制和消除威胁所需的信息。
随着开发人员高速部署代码,执行取证调查变得更加困难。与可以保持数月不变的物理服务器或虚拟机不同,容器是轻量级的临时计算任务,orchestrator可以随时启动和关闭。容器的寿命可以短至几分钟或几秒钟,通常以小时为单位。无服务器函数的生命周期要短得多——例如,AWS Lambda 函数每次执行最多只能运行 15 分钟。
这些非常短的生命周期对安全性、可见性和取证具有深远的影响。因为容器是临时的,写入容器文件系统的数据通常会在容器关闭时被删除(除非它被显式保存到另一个位置)。像 Kubernetes 这样的工具会自动安排主机上的工作负载,并在主机之间动态移动工作负载,这意味着团队通常无法提前决定应用程序将在哪个主机上运行。
为了在云原生环境中启用取证,团队需要能够在高度动态的环境中捕获相关日志数据的策略和技术,并能够支持跨多个云和多达数千台主机运行的临时工作负载。
构建容器取证事件响应计划
一、预防措施
预防措施可以帮助减少容器上的攻击面。例如,您永远不应该在容器上提供 root 访问权限,限制对 kubectl 和 Kubernetes API 的访问,并确保 Kubernetes 运行的是最新版本并且集群具有强化配置。
利用 Kubernetes 中可用的安全工具非常重要,包括 Docker Statistics API,它可以帮助收集系统指标(system metrics)。系统指标对于需要了解系统大规模运行时容器负载如何影响系统的分析师很有用。
二、数据保存和调查
如果发生事故,保留必要的证据以供进一步调查非常重要:
1.不要关闭似乎受到威胁的节点或容器。这使得无法确定根本原因。
2.利用快照技术对运行可疑受感染容器进行备份。
3.识别关键证据并获得足够的可见性以了解根本原因和影响。尝试分析尽可能多的数据源。
三、事件响应计划
使用以下最佳方式来确保您在容器受到攻击时做好准备:
1.分配事件响应线索,在发生重大事件时充当关键决策者。
2.定义一个事件响应计划,其中包含针对不同类型的安全事件要遵循的明确步骤。
3.定义发生违规时响应者应使用的沟通和升级渠道。
4.了解法律和合规义务,这可能需要在指定时间段内报告违规行为。
5.进行红队练习(red team exercises)和评估,以不断改进您的安全防御并为应对真实事件做好准备。
德迅蜂巢(容器安全)能够很好集成到云原生复杂多变的环境中,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于:
在开发阶段(Dev),遵循“安全左移”原则,做到上线即安全
在运行阶段(Ops),遵循“持续监控&响应”原则,做到完全自适应
德迅蜂巢主要从安全左移和运行时安全两个阶段,在云原生的全生命周期过程中,提供原生的、融合的安全能力。
主要功能点分为:
一、资产清点
可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳理业务及其复杂的关系,弥补安全与业务的鸿沟。
1.容器资产种类全面盘点:支持容器、镜像、Registry、主机、POD等容器资产快速清点,为用户提供容器内资产的分类视图,实现容器资产的全面可视化。
2.容器资产内容深度识别:对每类资产进行深入分析,获取资产相关的高价值安全数据,帮助用户从安全角度细粒度观察资产运行状况。
3.自动化、持续性容器资产清点:系统资产数据持续更新,每日及时地、自动化上报资产数据。基于历史清点的数据,每次只清点新启动的进程信息,极大降低对服务器性能的耗损。
二、镜像扫描
镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。
1.持续的镜像补丁检测能力:持续更新漏洞数据库,并与集群中的容器镜像进行匹配。一旦发现任何新镜像补丁信息,用户将收到通知,而不必定期重新扫描。
2.全面的补丁数据呈现:深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁,综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况,智能提供最贴合业务的补丁修复建议。
3.灵活快速的检索方式:客户可根据需求灵活显示列表数据,定义表格显示。系统提供基于安全场景的筛选方式,如支持按 CVE 编号进行检索等,帮助用户迅速定位镜像和其安全补丁信息。
三、微隔离
原生自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,帮助用户快速、安全地落地容器微隔离能力。
1.提供业务视角的网络拓扑关系:基于实际业务的?作负载可视化展示容器间的访问?为,清晰展示网络拓扑关系,方便运维和安全人员理解。
2.提供“告警”模式,让用户放心设置策略:针对工作负载提供“仅告警”业务模式,不下发实际的隔离策略,而是模拟下发的情况,当发现偏离策略的行为则进行告警提示。通过此种模式,可避免因隔离错误而对业务造成影响。
3.全面适配云原生的网络环境:适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。
四、入侵检测
通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意?为、异常事件,监测到入侵事件后,对失陷容器快速安全响应,把损失降到最低。
1.基于已知威胁进行检测:德迅蜂巢通过监控容器内的进程创建、文件变化等行为,获取行为特征,将这些特征经过德迅五大检测引擎的检测,以发现容器中的病毒、挖矿、Webshell等攻击行为。
2.基于恶意行为进行检测:以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。
3.基于异常行为进行检测:通过容器进程行为、文件行为、网络行为的监控/学习,建立容器行为模型,分析异常偏离行为, 发现未知入侵威胁。
五、合规基线
构建基于CIS Benchmark的最佳安全操作实践检查,帮助企业实施和完善容器合规规范,可实现一键自动化检测,并提供可视化基线检查结果和代码级修复建议。
1.一键任务化检测,基线检查结果可视化呈现:用户可快捷创建基线扫描任务,根据检测需要,自行选择需要扫描的容器和基线,基线检查结果可视化呈现。
2.基于Docker基线多维检查:根据CIS Benchmark最佳实践方案,从运行时容器、镜像、主机三个维度,对各类容器配置问题进行检查
3.基于Kubernetes基线多节点检查:根据CIS Benchmark的规范,定时对k8s的master节点、worker节点进行基线检查。扫描完成后,即可查看每个扫描详情以及扫描结果
总之,构建高技术含量的容器安全体系是一个复杂而艰巨的任务,需要综合考虑多个方面。通过实施上述措施,我们可以有效提高容器的安全性,降低安全风险。然而,随着技术的不断发展和新的安全威胁的出现,我们还需要持续关注和研究新的安全技术和方法,不断完善和优化容器安全体系。
