容器云安全风险分析及防护体系设计探究

容器云安全风险分析及防护体系设计探究

陈慧 莫毅 李俊

广西工业职业技术学院

摘 要：在国家经济水平快速提升的促进作用下，容器云技术也得到迅速发展，其应用范围也在迅速扩展。容器云在不同行业中都得到了很好的应用，也得到了社会的广泛关注。本文以容器云作为研究对象，在查阅大量文献以及结合容器云应用实际需要的基础上，对容器云安全风险进行简单分析，然后探讨了容器云安全防护体系设计，期望可以为容器云的进一步应用提供参考。

关键词：容器云；安全风险；防护体系

前言

得益于云计算技术的大力发展，容器云技术应用范围也逐渐扩展，在很多企业机构中都将容器云作为新的IT基础设施。经过多年的发展，如今的容器云技术主要是以Kubernetes 容器管理调度框架和 Docker 容器管理器为核心。开源容器云技术生态的核心为Kubernetes，其主要能力包括容器管理、容器编排调度、容器网络管理以及容器镜像管理等，而Kubernetes则为其提供了CRI、CNI、CSI以及API等标准接口，另外其还可以形成具有扩展能力的开发框架^[1]。

1 容器云安全风险分析

容器云安全配置规范应用情况尚处于不理想状态，有许多容器云直接暴露于互联网当中，导致容器云存在明显的脆弱性，也为攻击者创造了有利的攻击条件，当其被攻陷后会严重威胁到生产环境的安全性。（1）典型容器云的部署模式主要为裸金属部署、私有云部署以及公有云部署，其部署形态以直接部署于裸金属服务器和云主机为主，管理节点、计算节点以及存储节点属于其主要部署角色。容器云攻击主要来自外部恶意用户或者内部恶意管理员，主要的攻击对象包括容器化微服务网络攻击、容器云组件漏洞攻击、容器镜像仓库攻击、界面API接口缺陷以及硬件管理接口缺陷。以硬件管理接口缺陷为例，主要是潜在攻击者利用裸金属服务开放的管理接口的漏洞以及缺陷，对服务器底层硬件进行控制，进而对云管理、服务器管理以及网络管理等进行攻击，最终导致整个容器云基础设施出现瘫痪的情况。（2）现阶段，容器云关键组件漏洞中，Docker 相关的漏洞占比较大，并且漏洞数量也没有减少趋势，当黑客突破Docker ，有可能会严重威胁到主机。Kubernetes 相关的漏洞占比也比较多，主要包括敏感数据泄露、拒绝服务、弱校验等漏洞类型。其次，还应当对，etcd、Istio 相关漏洞引起关注。在容器云组件漏洞频繁发生的同时，容器镜像安全形势也在变得越来越严峻，生产环境中镜像漏洞扫描通过率只有48％^[2]。在容器云应用范围逐渐扩大的背景下，其安全漏洞问题也在变得越来越突出，因此应当及时进行有效防范，避免因漏洞，基础设施遭到致命攻击。在解决容器云安全风险时，可以针对其攻击路径以及脆弱性设计相应的安全防护体系，通过全面防御机制对容器云攻击路径进行封堵处理。

2 容器云安全防护体系设计

容器云技术具有突出的轻量、高效以及可移植性强等技术优势，其部署工作也较为简单，同时可以对多环境提供支持作用，可以对应用程序运行效率以及系统资源利用率进行提升。但是，容器云安全风险的存在对其进一步应用产生了明显的限制影响。因此，应当根据容器云具体的安全要求开展具有针对性的安全防护体系设计工作。

主要可以分为容器主机、容器镜像、容器管理器、容器网络、容器存储、容器编排、容器仓库等方面的安全能力设计，同时还应当达到容器平台管控能力要求以及容器云风险感知和处置能力要求。在设计容器云主机操作系统时，应当遵守最小化安装原则，对于漏洞应当进行定期扫描，以便于对补丁程序进行及时安装，同时还应当加密存储主机操作系统的敏感数据。在设计工作中确保容器云主机可以进行入侵检测、主机安全认证以及主机权限管控等工作，确保主机操作系统可以对国产化软硬件平台形成支持作用。设计工作中，还应当对容器镜像加密保护以及防篡改等能力进行设计，在设计策略管理功能的基础上安全管理镜像。容器管理器设计时应确保其具有安全组件服务式部署以及安全策略管理统一配置管理能力，对于云内资源还应当进行可视化管控，不仅要监控云资源还需要可以对关键指标进行告警。对于容器网络应确保全链路数据加密传输，确保网络通信具有较高的安全性，对于数据包过滤的能力应当达到防火墙级别，容器之间的网络应当可以进行隔离，全容器间也应当可以进行可视化网络监控。容器存储数据时应当确保数据的完整性、机密性以及可用性，所存储的数据可以被高效利用，可以根据数据密级不同进行针对性保护。在进行容器云安全防护体系设计时，需要遵循深防御思想，对自适应安全模型、可信计算安全框架以及隐私计算安全模型等设计经验进行借鉴，将不同种安全防御手段以及机制等融合在一起，建构可信空间时也需要从认证鉴权、运行环境等多个维度出发。主要进行容器平台插拔式安全防护设计（容器流量隔离防护模块、容器网络隔离防护模块、容器数据隔离保护模块、容器安全扫描模块、容器安全运行服务保障系统）、容器平台内置式安全防护设计（内在安全容器平台、主机综合安全防护系统）、容器平台外挂式安全防护设计（统一安全信任系统、统一安全审计系统、统一安全管控系统、统一检测预警系统）。

结语

综上所述，容器云技术发展势头迅猛，为了促进该项技术逐渐成熟，应当对其安全风险进行深入系统的研究，然后结合攻击路径和其本身具有的脆弱性，根据容器云相应的安全能力要求开展相对应的设计工作。

参考文献：

[1]王进,刘晓毅,王邦礼.一种基于高安全容器云的安全服务统一集成平台研究[J].保密科学技术,2021(01):43-47.

[2]刘晓毅,王进,冯中华,何平,吕方.容器云安全风险分析及防护体系设计[J].通信技术,2020,53(12):3065-3071.

基金项目：2021年度广西高校中青年教师科研基础能力提升项目;项目编号：2021KY1273