2022 年（第十届）电力企业信息安全研讨会 - 326 - 容器内恶意进程应用层阻断生成研究 全球能源互联网研究院有限公司，张錋、杨宗跃 摘 要：容器提供了一种逻辑打包机制，以这种机制打包的应用可以脱离其实际运行的环境。利用这种脱离，不管 目标环境是私有数据中心、公有云，还是开发者的个人笔记本电脑，都可以轻松、一致地部署基于容器的应用。随着容 器技术的应用，容器内的安全性也同样面临着威胁。而不管是什么样的攻击方式，最终都需要以程序的方式来执行黑客 的攻击手段。而进程的生成是由 Linux 内核接管，目前没有对外放出进程生成管理的接口；而如果以内核级代码做进行 生成管理，只要出一点意外将导致整个系统崩溃，无法使用。本次研究是基于容器运行的机制，并结合 Linux 系统的特 性，在应用层接管进程的生成管理，并对恶意进程的生成进行阻断生成。 关键词：容器；容器安全；进程阻断 云原生技术的应用广泛下，容器技术也得到了 极大的推广。越来越多的公司把服务从本地迁到云 上，服务也从越来越契合云原生框架，容器技术的 应用提高了应用程序的可移植性，容器中运行的应 用程序可以轻松部署到多个不同的操作系统和硬件 平台。与传统或硬件虚拟机环境相比，容器所需的 系统资源更少，实现了更高的运行效率与资源利用 率。容器中的应用程序无论部署在何处，都会运行 相同的应用程序，从而对程序的操作得到一致和统 一，由于容器技术自身存在一定的安全缺陷，以及 大量资源的迁移应用，也成为了主要的攻击目标对象。 1.1 背景分析 传统重量级虚拟化技术的实现和设计原理是将 主机内核进行隔离，主要是围绕虚拟机内核通信处 理，阻断主机内核层的通信，才具有更高的安全性； 由于容器技术没有使用这个限定，采用的是非硬件 轻量级虚拟化， 攻击者无需绕行就可以直接对内 （主 机内核）发动恶意攻击，因此直接参与主机内核处 理的过程就是容器安全性的关键问题所在，所以容 器安全性弱点的根本原因之一就是隔离性不强。相 对于 KVM 虚拟化技术，容器中没有虚拟出硬件，而 是和系统共用，也会导致系统的安全问题，并且容 器自身的安全问题，会感染到系统，从而扩散到其 他容器应用。同时，由于容器中的网络、镜像、容 器、仓库、Linux 内核、容器软件本身等六个主要方 面的安全威胁不同，容器中的主要组件的脆弱性也 不相同，需要对各个组件有针对性的进行加固，并 且容器自身的配置不当也会引起的安全问题。 1.2 容器安全实践 同样是容器技术，国内外对其安全有着不同的 定义和安全标准规范。国外起步较早，美国国家标 准与技术研究院发布了《NIST.SP.800—190 应用容 器安全指南》，作为国外容器安全的标准参考；但 目前国内在容器安全仍在研究和探索阶段，主要还 是依靠一些研究机构、云厂商和安全厂商，针对容 器的安全性提出各自的防护意见。 Dosec 团队提出通过对静态的容器镜像进行扫 描，发现文件漏洞和不安全的配置信息，同时提供 容器进程白名单、文件只读保护和容器逃逸检测功 能，能有效防止容器运行时安全风险事件的发生。 绿盟安全厂商提出的容器安全解决方案，包括 对容器镜像、仓库进行漏洞扫描，对容器访问控制，