運行在云平臺上的容器產品，因為具備一個完整的可移植應用程序環境，能夠幫助用戶輕松地完成對應用程序的開關控制，提升應用程序的敏捷性，同時節約企業的IT建設成本。在巨大優勢作用下，容器產品的采用率在2021年達到了新高，容器編排引擎工具的使用也不斷攀升。與此同時，容器也面臨更大的安全風險。

常見容器安全風險

據Red Hat公司調查數據顯示：有94%的受訪者在過去12個月內遭遇過Kubernetes安全事件。而Akamai日前也進行了一項實驗，將一個簡單的Docker容器蜜罐用于攻擊測試，結果顯示該容器在24小時內被攻擊者用于四起不同的犯罪活動，這些攻擊的目的各不相同：一起攻擊試圖使用容器作為代理，以訪問數據流或其他服務，另一起企圖讓目標感染僵尸網絡，還有一起執行加密貨幣挖掘，最后一起是通過容器針對居家辦公用戶實施詐騙。

研究發現，牟利仍是網絡犯罪分子攻擊容器的主要動機。不法分子企圖訪問隨后可以牟利的資源或數據。CPU時間和帶寬等資源可以出售給其他犯罪分子用于地下服務，甚至直接用于挖掘加密貨幣，這些動機在使用容器的環境中大量存在。

風險一：錯誤配置

影響容器安全的因素有很多，但配置錯誤是最常見的原因。Gartner近期的一項分析顯示，到2025年，99%以上云安全事件的根源將是用戶配置錯誤或配置不當造成的。

容器常常大批量部署在非常動態的環境中，訪問、網絡及其他設置一旦出現錯誤配置，就會給網絡犯罪份子留下可乘之機。另外，很多公司在配置容器時，通常會選擇默認配置設置，不能充分利用更精細化的配置功能，配置錯誤或采用安全性遠不如自定義設置的默認配置方案，都可能造成安全問題。配置錯誤的問題不僅局限于容器本身，容器編排引擎工具的配置錯誤也需關注。

風險二：鏡像感染

除了錯誤配置外，被感染的鏡像是容器面臨的另一大風險。鏡像由開源存儲庫提供，是隨帶的可執行代碼的預制靜態文件，可以在計算系統上創建容器，方便用戶部署。攻擊者會通過植入惡意軟件或將挖礦軟件預先安裝在鏡像中來破壞容器，用戶在部署了這些鏡像之后，攻擊者就可以通過惡意軟件來訪問受害者的資源。

這種攻擊事件已經發生了多起。例如，2020年Containerd運行過程中，曝出存在工具漏洞，該工具用于管理主機系統的整個容器生命周期。這個漏洞(CVE-2020-15157)存在于容器鏡像拉取過程中，攻擊者通過構建專用的容器鏡像成功實施了攻擊活動。

風險三：漏洞攻擊

此外，影響容器安全的另一個因素是漏洞。2021年研究人員曾發現了多個容器漏洞，這些漏洞可以讓攻擊者滲入到公有云的多租戶容器即服務產品當中。雖然云供應商投入了大量資金來保護云平臺，但未知的零日漏洞層出不窮，容器所面臨的漏洞安全風險始終存在。

容器安全防御的最佳實踐

鑒于當前普遍應用的容器環境，企業需要具備數據分析能力，發現容器環境下的異常行為，以下梳理總結了容器安全防護中采用的有效實踐經驗，供大家參考：

• 確保集群基礎架構的補丁程序能夠及時更新;
• 定期修改容器運行參數，避免默認配置;
• 使用強密碼，并定期進行密碼和權限的變更;
• 避免將特權服務賬戶的令牌發送到API服務器以外的任何方，防止攻擊者偽裝成令牌所有者;
• 啟用“BoundServiceAccountTokenVolume”功能，盡量減小令牌被盜的影響;
• 部署策略執行器以監控和防止容器集群內的可疑活動，尤其是查詢SelfSubjectAccessReview或SelfSubjectRulesReview API以獲得許可的服務賬戶或節點;
• 從信譽良好的來源拉取容器鏡像，存儲在安全存儲庫中，用信任證書加以標記和簽名，將過時的版本從鏡像存儲庫移除;
• 評估編排系統的最低權限配置，確保持續集成/持續交付(CI/CD)中的移動得到驗證、記錄和監控;
• 全方位了解云應用程序環境以及傳統IT基礎架構的風險;
• 部署數據分析工具和可以對分析結果做出反應的自動化操作手冊;
• 為安全運營人員及時提供容器運行數據，以便他們及時對告警信息進行處置;
• 在容器的出口處部署數據泄露防護措施。

參考鏈接：

https://threatpost.com/container_threats_cloud_defend/179452/。