2022 年(第十届)电力企业信息安全研讨会
- 326 -
容器内恶意进程应用层阻断生成研究
全球能源互联网研究院有限公司,张錋、杨宗跃
摘 要:容器提供了一种逻辑打包机制,以这种机制打包的应用可以脱离其实际运行的环境。利用这种脱离,不管
目标环境是私有数据中心、公有云,还是开发者的个人笔记本电脑,都可以轻松、一致地部署基于容器的应用。随着容
器技术的应用,容器内的安全性也同样面临着威胁。而不管是什么样的攻击方式,最终都需要以程序的方式来执行黑客
的攻击手段。而进程的生成是由 Linux 内核接管,目前没有对外放出进程生成管理的接口;而如果以内核级代码做进行
生成管理,只要出一点意外将导致整个系统崩溃,无法使用。本次研究是基于容器运行的机制,并结合 Linux 系统的特
性,在应用层接管进程的生成管理,并对恶意进程的生成进行阻断生成。
关键词:容器;容器安全;进程阻断
云原生技术的应用广泛下,容器技术也得到了
极大的推广。越来越多的公司把服务从本地迁到云
上,服务也从越来越契合云原生框架,容器技术的
应用提高了应用程序的可移植性,容器中运行的应
用程序可以轻松部署到多个不同的操作系统和硬件
平台。与传统或硬件虚拟机环境相比,容器所需的
系统资源更少,实现了更高的运行效率与资源利用
率。容器中的应用程序无论部署在何处,都会运行
相同的应用程序,从而对程序的操作得到一致和统
一,由于容器技术自身存在一定的安全缺陷,以及
大量资源的迁移应用,也成为了主要的攻击目标对象。
1.1 背景分析
传统重量级虚拟化技术的实现和设计原理是将
主机内核进行隔离,主要是围绕虚拟机内核通信处
理,阻断主机内核层的通信,才具有更高的安全性;
由于容器技术没有使用这个限定,采用的是非硬件
轻量级虚拟化,
攻击者无需绕行就可以直接对内
(主
机内核)发动恶意攻击,因此直接参与主机内核处
理的过程就是容器安全性的关键问题所在,所以容
器安全性弱点的根本原因之一就是隔离性不强。相
对于 KVM 虚拟化技术,容器中没有虚拟出硬件,而
是和系统共用,也会导致系统的安全问题,并且容
器自身的安全问题,会感染到系统,从而扩散到其
他容器应用。同时,由于容器中的网络、镜像、容
器、仓库、Linux 内核、容器软件本身等六个主要方
面的安全威胁不同,容器中的主要组件的脆弱性也
不相同,需要对各个组件有针对性的进行加固,并
且容器自身的配置不当也会引起的安全问题。
1.2 容器安全实践
同样是容器技术,国内外对其安全有着不同的
定义和安全标准规范。国外起步较早,美国国家标
准与技术研究院发布了《NIST.SP.800—190 应用容
器安全指南》,作为国外容器安全的标准参考;但
目前国内在容器安全仍在研究和探索阶段,主要还
是依靠一些研究机构、云厂商和安全厂商,针对容
器的安全性提出各自的防护意见。
Dosec 团队提出通过对静态的容器镜像进行扫
描,发现文件漏洞和不安全的配置信息,同时提供
容器进程白名单、文件只读保护和容器逃逸检测功
能,能有效防止容器运行时安全风险事件的发生。
绿盟安全厂商提出的容器安全解决方案,包括
对容器镜像、仓库进行漏洞扫描,对容器访问控制,
打分:
0 星