译者 | 晶颜

审校 | 重楼

安全并非“放之四海而皆准”的保护解决方案，相反地，免受它更多的威胁是一个范围，受其应用的容器特定上下文的影响。安全领域的安全专业人士很少宣称什么产品是完全安全的，但总有方法可以实现更强的效实安全性。在本文中，保护我们将介绍各种方法来支持容器的免受安全性。

理解和缓解容器安全威胁

为了保证容器化系统的威胁安全，了解它们所面临的容器威胁至关重要。就像一个小缺口足以沉没一艘船一样，安全即便是效实一个微小的漏洞也可能导致大问题。本节将帮助你更深入地了解容器安全性，保护并提供针对各种威胁的免受缓解方案。

容器安全的威胁核心原则

攻击者经常以容器为目标来劫持它们的计算能力——一个常见的例子是获得未经授权的源码库加密货币挖掘的访问权。除此之外，受损的容器可能会暴露敏感数据，包括客户信息和工作负载详细信息。在更高级的攻击中，其目标甚至可能是逃离容器并渗透底层节点。如果攻击者获得成功，他们便可以在集群中横向移动，获得对关键资源（如用户代码、处理能力和跨其他节点的有价值数据）的持续访问能力。

一种特别危险的攻击方法是容器逃逸，在此场景中，攻击者利用了容器共享主机内核的事实。如果他们在受损容器中获得提升的权限，他们就可能会访问同一主机上其他容器中的数据或进程。此外，Kubernetes控制平面是一个主要目标。如果攻击者破坏了控制平面组件中的任何一个，他们就可以操纵整个环境，可能使其脱机或造成严重的香港云服务器中断。此外，如果etcd数据库遭到破坏，攻击者还可以更改或破坏集群，窃取秘密和凭据，或者收集足够的信息以在其他地方复制应用程序。

纵深防御

维护安全的容器环境需要一种分层策略，强调纵深防御原则。这种方法涉及在不同级别实现多个安全控制。通过部署重叠的安全措施，你可以创建这样一个系统：每个防御层都加强了其他层。这样一来，即使一项安全措施被破坏，其他措施也会继续保护环境。

图1：纵深防御策略

了解攻击面

安全策略的一部分是理解和管理攻击面，它包含所有潜在的利用点，包括容器映像、运行时、编排工具、主机和网络接口。减少攻击面意味着简化系统，减少不必要的组件、服务和代码。通过限制正在运行的内容并实施严格的访问控制，云服务器提供商可以减少漏洞存在或被利用的机会，使系统更安全，攻击者更难以渗透。

常见威胁和缓解策略

本节将重点聚焦容器安全中的日常威胁，以及可用于保护系统的工具。

脆弱的容器映像

依赖具有安全漏洞的容器映像会带来重大风险，因为这些易受攻击的映像通常包含过时的软件或具有公开漏洞的组件。在这种情况下，漏洞本质上是代码中的一个缺陷，恶意行为者可以利用它来触发有害的结果。这方面的一个例子是OpenSSL库中臭名昭著的Heartbleed漏洞，它允许攻击者通过利用编码错误来访问敏感数据。当容器映像中存在此类缺陷时，它们就会为攻击者破坏系统创造机会，从而导致潜在的数据盗窃或服务中断。

保护容器映像的最佳实践包括以下几点：

为了有效地减少攻击面，首先使用最小的基础映像，其中只包含应用程序所需的基本组件。这种方法最大限度地减少了潜在的漏洞，并限制了攻击者可以利用的工具。像Docker的FROM scratch或无损映像这样的工具可以帮助创建这些最小的环境。理解和管理容器映像层是至关重要的，因为每一层都可能引入漏洞。通过最小化层数并只包含必要的内容，可以减少潜在的攻击向量。使用多阶段构建来保持最终的映像精简，并定期检查和更新你的Dockerfiles以删除不必要的层。

重要的是要避免使用未经验证或过时的映像。来自公共存储库的未经验证的映像可能包含恶意软件、后门或其他恶意组件。过时的映像通常存在未修补的漏洞，攻击者可以利用这些漏洞作为突破口。为了缓解这些风险，请始终从受信任的存储库中获取映像，并定期将其更新为最新版本。

不安全的容器运行时

不安全的容器运行时也是一个严重的威胁，因为它可能导致特权升级，允许攻击者在系统内获得更高的访问权限。通过提升访问权限，攻击者可以通过修改或终止关键进程来破坏服务，从而导致停机并影响基础应用程序的可用性。他们甚至可以获得对容器环境的完全控制，操纵配置来部署恶意容器或引入恶意软件，并将其用作进一步攻击的启动平台。

加固容器运行时的最佳实践包括以下内容：

实现严格的安全边界和遵守最小特权原则对于保护容器运行时至关重要。应该将容器配置为仅使用其功能所需的权限运行，从而最大限度地减少安全漏洞的潜在影响。这涉及到设置基于角色的访问控制。准入控制是运行时安全性的一个关键方面，它涉及到验证和调节在集群中创建或更新容器的请求。通过使用准入控制器，你可以强制执行安全策略，并确保只部署符合要求且安全的容器配置。这包括检查已批准的基本映像的使用情况，确保应用了安全策略，以及验证容器没有作为root运行。此外，像开放策略代理（OPA）这样的工具可以集成到Kubernetes环境中，以提供灵活而强大的准入控制功能。下面是一个OPA策略的例子，它作为一个看门人，确保没有容器以root权限运行: 复制package kubernetes.admission deny[msg] { input.request.kind.kind == "Pod" input.request.object.spec.containers[_].securityContext.runAsUser == 0 msg = "Containers must not run as root." }1.2.3.4.5.6.7.

在保护容器运行时时，下述做法需要避免：

如果以root身份运行的容器受到威胁，攻击者可以获得对主机系统的root级访问权限，从而可能导致整个系统接管。当容器对主机资源（如文件系统、网络或设备）具有不受限制的访问权限时，受到损害的容器可以利用这种访问权限篡改主机系统、窃取敏感数据或破坏其他服务。

为了防止出现这种情况，请使用seccomp和AppArmor等工具。这些工具可以限制容器进行的系统调用并执行特定的安全策略。通过应用这些控制机制，你可以将容器限制在其预期的操作范围内，保护主机系统免受潜在的破坏或未经授权的活动干扰。

Kubernetes设置配置错误

配置错误的Kubernetes设置是一个重大的威胁，因为它们会通过过于宽松的网络策略、薄弱的访问控制和糟糕的秘密管理使集群暴露于攻击之下。具体来说：

过于宽松的网络策略使攻击者能够拦截和篡改数据。脆弱的访问控制允许未经授权的用户执行管理任务、中断服务和更改配置。糟糕的秘密管理暴露了API密钥和密码等敏感信息，使攻击者能够提升特权。

Kubernetes安全配置的最佳实践如下所述：

在没有保护的情况下传输敏感信息的风险在于，它可能在传输过程中被恶意行为者拦截或篡改。为了降低这种风险，使用传输层安全性（TLS）保护所有通信通道。Kubernetes提供了cert-manager之类的工具来自动管理和更新TLS证书。这确保了服务之间的通信保持加密和安全，从而保护你的数据不被拦截或操纵。网络策略控制Kubernetes集群中pod和服务之间的流量。通过定义网络策略，你可以隔离敏感的工作负载，并在发生泄漏时降低横向移动的风险。使用Kubernetes的本机NetworkPolicy资源来创建规则，强制执行所需的网络安全态势。

另一方面，避免暴露不必要的应用程序端口也很重要。端口的暴露为攻击者提供了多个入口点，使集群更容易受到攻击。

CI / CD安全性

CI/CD管道被授予广泛的权限，确保它们可以与生产系统密切交互并管理更新。然而，这种广泛的访问也使CI/CD管道成为一个重大的安全风险。如果受到威胁，攻击者可以利用这些广泛的权限来操纵部署、引入恶意代码、获得对关键系统的未经授权访问、窃取敏感数据或为正在进行的访问创建后门。

在保护CI/CD时，有一些最佳实践可以实现。第一个最佳实践是确保一旦构建和部署了容器映像，它是不可变的。我们总是想确保Pod按照我们的计划运行。它还有助于在出现安全问题时快速识别和回滚到以前的稳定版本，维护可靠和可预测的部署过程。

实现不可变部署需要下述几个关键步骤来确保一致性和安全性：

为每个容器映像构建分配唯一的版本标签，避免使用像“最新”这样的可变标签，并使用像Terraform或Ansible这样的基础设施即代码工具来维护一致的设置。配置具有只读文件系统的容器，以防止部署后的更改。使用Prometheus等工具实现持续监控，使用Falco实现运行时安全性，以帮助检测和警报未经授权的更改，维护部署的安全性和可靠性。

另一个最佳实践是在CI/CD中实现映像漏洞扫描。漏洞扫描程序可以细致地分析容器映像的组件，识别可能被利用的已知安全漏洞。除了检查由DNF或apt等工具管理的包之外，高级扫描程序还会检查在构建过程中添加的其他文件，例如通过ADD、COPY或RUN等Dockerfile命令引入的文件。

将第三方和内部创建的映像纳入扫描流程同样至关重要，因为新的漏洞会不断出现。为了保证在部署之前对映像进行彻底的漏洞扫描，像claire或Trivy这样的扫描工具可以直接嵌入到CI/CD管道中。

此外，不要直接在源代码中存储敏感信息（例如API密钥、密码），因为这会增加未经授权访问和数据泄露的风险。建议使用秘密管理工具（如SOPS、AWS秘密管理器或Google Cloud秘密管理器）安全地处理和加密敏感信息。

结论

定期评估和改进Kubernetes安全措施不仅重要，而且必不可少。通过实施上面介绍的策略，组织可以保护他们的Kubernetes环境，确保容器化的应用程序更安全，更有弹性地应对挑战。在未来，我们预计攻击者将开发更复杂的方法来专门绕过Kubernetes内置的安全特性。随着企业越来越多地依赖Kubernetes来处理关键工作负载，攻击者可能会投入更多的时间来发现Kubernetes安全架构中的新漏洞或弱点，这可能会催生出更难以检测和缓解的漏洞。

通往安全的Kubernetes环境的道路是清晰的，现在是采取行动的时候了。“优先考虑安全”来保障你的未来吧！

原文标题：Guarding Kubernetes From the Threat Landscape: Effective Practices for Container Security，作者：Gal Cohen

(责任编辑：数据库)