三大容器安全防線，護(hù)航云原生5G應(yīng)用

5G的三大應(yīng)用場景分別是eMBB(增強(qiáng)型移動(dòng)寬帶)，uRLLC(低時(shí)延、高可靠通信) 和mMTC(海量物聯(lián)網(wǎng))，而垂直行業(yè)主要應(yīng)用場景應(yīng)該是mMTC和uRLLC。垂直行業(yè)應(yīng)用廣泛，大量場景要求通訊高效率和輕量化，傳統(tǒng)集中式核心網(wǎng)已不能滿足要求，故3GPP在5G時(shí)代將傳統(tǒng)核心網(wǎng)設(shè)計(jì)成服務(wù)化架構(gòu)(SBA)。以核心網(wǎng)為主的5G云原生應(yīng)用在服務(wù)化之后帶來了可裁減、高擴(kuò)展、調(diào)用簡單等好處，是分布式技術(shù)的典型范例。在實(shí)際使用中要求承載服務(wù)的實(shí)際物理載體輕便小巧，易于擴(kuò)展，此時(shí)主機(jī)和虛擬化技術(shù)都顯得過于笨重，而容器技術(shù)使用命名空間在操作系統(tǒng)中建立隔離，使用更少的資源滿足復(fù)雜多樣的需求。在此背景下，基于Docker的容器技術(shù)脫穎而出，得到廣泛應(yīng)用。

容器風(fēng)險(xiǎn)

雖然容器帶來的技術(shù)優(yōu)勢無可比擬，但同時(shí)也引入了新的安全風(fēng)險(xiǎn)。從容器的Dev&Ops生命周期來看，鏡像制作開始容器就面臨風(fēng)險(xiǎn)，鏡像加載、容器運(yùn)行和數(shù)據(jù)傳輸這類運(yùn)行期風(fēng)險(xiǎn)更多。

圖一：容器云特有風(fēng)險(xiǎn)

容器鏡像選擇面廣，自由度高，其中帶來的風(fēng)險(xiǎn)也很多，據(jù)2017年統(tǒng)計(jì)數(shù)據(jù)顯示(圖二源自https://www.federacy.com/blog/docker-image-vulnerability-research/)，Docker官方社區(qū)提供的鏡像中，有10%含高危漏洞，而最常見的Ubuntu鏡像，含高危漏洞的鏡像占鏡像總數(shù)的25%以上，官方渠道尚且如此，可見其他非官方渠道的鏡像質(zhì)量。此外，近年來bit幣的流行導(dǎo)致攻擊者的逐利行為已經(jīng)蔓延到容器領(lǐng)域。2018年6月，安全廠商Fortinet和Kromtech在Docker Hub上發(fā)現(xiàn)17個(gè)用于數(shù)字貨幣挖礦惡意程序的Docker鏡像，并且這些鏡像至少被下載了500萬次，可謂是防不勝防。這些帶有挖礦程序的惡意代碼一旦進(jìn)入容器云中就會(huì)自我擴(kuò)散，消耗云算力用于挖礦，影響網(wǎng)絡(luò)帶寬和吞吐，威脅云上應(yīng)用的正常運(yùn)行。

圖二：官方社區(qū)鏡像漏洞統(tǒng)計(jì)

容器加載時(shí)，Docker鏡像倉庫提供了明文下載鏡像方式，給中間人攻擊提供了便利。同時(shí)，鏡像倉庫的端口可能因配置不當(dāng)而暴露在互聯(lián)網(wǎng)中，攻擊者可以上傳帶有惡意軟件的鏡像給企業(yè)帶來災(zāi)難。

容器運(yùn)行時(shí)，隔離也不如虛擬機(jī)嚴(yán)格，部分系統(tǒng)路徑如/sys /dev仍和其他容器共享;如果宿主機(jī)(Host)的文件路徑與Docker路徑被聯(lián)合掛載(union mount)到一起，那么惡意代碼就有機(jī)會(huì)“穿透”容器，攻擊到宿主機(jī)，進(jìn)而攻擊到其他應(yīng)用;容器可以通過內(nèi)網(wǎng)平面向其他容器發(fā)起攻擊，比如通過向Docker守護(hù)進(jìn)程發(fā)送創(chuàng)建新容器并且和宿主機(jī)聯(lián)合掛載文件的方式來達(dá)到另一種形式的“穿透”攻擊。容器銷毀時(shí)，對應(yīng)掛載的volume數(shù)據(jù)會(huì)留在宿主機(jī)上，如果不主動(dòng)刪除則會(huì)造成數(shù)據(jù)泄露。

容器安全防護(hù)

上述風(fēng)險(xiǎn)都是容器云特有的風(fēng)險(xiǎn)，所以除了一般云安全防護(hù)之外，容器云還需要針對以上風(fēng)險(xiǎn)做特殊防范。中興通訊結(jié)合業(yè)內(nèi)好實(shí)踐，將安全融入Dev&Ops，提出容器云安全三道防線解決方案，將容器云風(fēng)險(xiǎn)降至最低。

圖三：容器安全防護(hù)

第一道防線：正本清源

針對供應(yīng)鏈的“降維打擊”風(fēng)險(xiǎn)，中興通訊組織專業(yè)團(tuán)隊(duì)，構(gòu)建自研安全鏡像(base line)。在CI/CD過程中集成鏡像漏洞、惡意代碼掃描和準(zhǔn)入條件，基于基礎(chǔ)鏡像改進(jìn)的應(yīng)用鏡像，漏洞不治理完成或是有不合規(guī)配置，均無法提交，從源頭上杜絕惡意代碼引入。中興通訊容器云提供的服務(wù)均出自安全的鏡像源，大程度降低由鏡像引入的“天然”風(fēng)險(xiǎn)，是容器云內(nèi)生安全最重要的一環(huán)。云用戶也可直接使用這些鏡像，減少引入的漏洞。

第二道防線：靜態(tài)分析

考慮到容器云還有第三方應(yīng)用會(huì)引入不可控鏡像，中興通訊容器云將CI/CD中使用的提供漏洞檢測和合規(guī)掃描功能引入到容器云中，使容器云可以檢查鏡像倉庫中所有鏡像，阻擋風(fēng)險(xiǎn)鏡像運(yùn)行;也可以發(fā)現(xiàn)運(yùn)行中容器的風(fēng)險(xiǎn)，主機(jī)和存儲(chǔ)掃描可以檢測volume與容器的關(guān)聯(lián)并提供清除volume的操作，防止數(shù)據(jù)泄露和“穿透”攻擊。第二道防線截?cái)嗔藧阂獯a引入到運(yùn)行環(huán)境的路徑，鏡像倉庫也得到了保護(hù)，尤其開放給第三方使用邊緣云上，更顯其重要性。

第三道防線：動(dòng)態(tài)監(jiān)測

在兩道防線的精準(zhǔn)打擊下，常規(guī)惡意軟件已無所遁行，但部分漏網(wǎng)之魚尤其是APT(Advanced Persistent Threat)攻擊利用0day，可能會(huì)在容器云中運(yùn)行，此時(shí)必須使用第三道防線的動(dòng)態(tài)監(jiān)測功能。第三道防線提供了東西向虛擬防火墻和南北向應(yīng)用防火墻的功能，阻擋已知惡意流量入侵，也可以將依據(jù)通訊矩陣配置強(qiáng)制訪問控制規(guī)則，僅放行容許需要的通訊端口流量;動(dòng)態(tài)監(jiān)測功能始終監(jiān)控進(jìn)出容器的流量和訪問的文件，以自學(xué)習(xí)的方式為容器行為畫像，當(dāng)有異常流量出入容器時(shí)，動(dòng)檢監(jiān)測會(huì)告警、攔截或進(jìn)行容器隔離;云用戶幾乎不需要做配置即可使用動(dòng)態(tài)監(jiān)測帶來的安全和便利，這對海量容器云運(yùn)維尤其重要。

總結(jié)

三道防線相輔相成，針對容器云特有的風(fēng)險(xiǎn)做精準(zhǔn)打擊，并可用于虛機(jī)容器和原生容器等多種場景，全面保障容器云安全。隨著5G垂直行業(yè)的開展，容器云，尤其是邊緣云必將受中小企業(yè)的青睞，三道防線也會(huì)在垂直行業(yè)應(yīng)用中展現(xiàn)價(jià)值。一直以來，中興通訊強(qiáng)調(diào)將安全融于血脈，容器云安全是這一理念的又一最好證明。

分享標(biāo)題：三大容器安全防線，護(hù)航云原生5G應(yīng)用
網(wǎng)站路徑：http://www.bm7419.com/news38/203238.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、做網(wǎng)站、Google、小程序開發(fā)、ChatGPT、網(wǎng)頁設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)