三大容器安全防線,護(hù)航云原生5G應(yīng)用

2022-10-07    分類: 網(wǎng)站建設(shè)

三大容器安全防線,護(hù)航云原生5G應(yīng)用

5G的三大應(yīng)用場(chǎng)景分別是eMBB(增強(qiáng)型移動(dòng)寬帶),uRLLC(低時(shí)延、高可靠通信) 和mMTC(海量物聯(lián)網(wǎng)),而垂直行業(yè)主要應(yīng)用場(chǎng)景應(yīng)該是mMTC和uRLLC。垂直行業(yè)應(yīng)用廣泛,大量場(chǎng)景要求通訊高效率和輕量化,傳統(tǒng)集中式核心網(wǎng)已不能滿足要求,故3GPP在5G時(shí)代將傳統(tǒng)核心網(wǎng)設(shè)計(jì)成服務(wù)化架構(gòu)(SBA)。以核心網(wǎng)為主的5G云原生應(yīng)用在服務(wù)化之后帶來(lái)了可裁減、高擴(kuò)展、調(diào)用簡(jiǎn)單等好處,是分布式技術(shù)的典型范例。在實(shí)際使用中要求承載服務(wù)的實(shí)際物理載體輕便小巧,易于擴(kuò)展,此時(shí)主機(jī)和虛擬化技術(shù)都顯得過(guò)于笨重,而容器技術(shù)使用命名空間在操作系統(tǒng)中建立隔離,使用更少的資源滿足復(fù)雜多樣的需求。在此背景下,基于Docker的容器技術(shù)脫穎而出,得到廣泛應(yīng)用。

容器風(fēng)險(xiǎn)

雖然容器帶來(lái)的技術(shù)優(yōu)勢(shì)無(wú)可比擬,但同時(shí)也引入了新的安全風(fēng)險(xiǎn)。從容器的Dev&Ops生命周期來(lái)看,鏡像制作開(kāi)始容器就面臨風(fēng)險(xiǎn),鏡像加載、容器運(yùn)行和數(shù)據(jù)傳輸這類運(yùn)行期風(fēng)險(xiǎn)更多。

三大容器安全防線,護(hù)航云原生5G應(yīng)用

圖一:容器云特有風(fēng)險(xiǎn)

容器鏡像選擇面廣,自由度高,其中帶來(lái)的風(fēng)險(xiǎn)也很多,據(jù)2017年統(tǒng)計(jì)數(shù)據(jù)顯示(圖二源自https://www.federacy.com/blog/docker-image-vulnerability-research/),Docker官方社區(qū)提供的鏡像中,有10%含高危漏洞,而最常見(jiàn)的Ubuntu鏡像,含高危漏洞的鏡像占鏡像總數(shù)的25%以上,官方渠道尚且如此,可見(jiàn)其他非官方渠道的鏡像質(zhì)量。此外,近年來(lái)bit幣的流行導(dǎo)致攻擊者的逐利行為已經(jīng)蔓延到容器領(lǐng)域。2018年6月,安全廠商Fortinet和Kromtech在Docker Hub上發(fā)現(xiàn)17個(gè)用于數(shù)字貨幣挖礦惡意程序的Docker鏡像,并且這些鏡像至少被下載了500萬(wàn)次,可謂是防不勝防。這些帶有挖礦程序的惡意代碼一旦進(jìn)入容器云中就會(huì)自我擴(kuò)散,消耗云算力用于挖礦,影響網(wǎng)絡(luò)帶寬和吞吐,威脅云上應(yīng)用的正常運(yùn)行。

三大容器安全防線,護(hù)航云原生5G應(yīng)用

圖二:官方社區(qū)鏡像漏洞統(tǒng)計(jì)

容器加載時(shí),Docker鏡像倉(cāng)庫(kù)提供了明文下載鏡像方式,給中間人攻擊提供了便利。同時(shí),鏡像倉(cāng)庫(kù)的端口可能因配置不當(dāng)而暴露在互聯(lián)網(wǎng)中,攻擊者可以上傳帶有惡意軟件的鏡像給企業(yè)帶來(lái)災(zāi)難。

容器運(yùn)行時(shí),隔離也不如虛擬機(jī)嚴(yán)格,部分系統(tǒng)路徑如/sys /dev仍和其他容器共享;如果宿主機(jī)(Host)的文件路徑與Docker路徑被聯(lián)合掛載(union mount)到一起,那么惡意代碼就有機(jī)會(huì)“穿透”容器,攻擊到宿主機(jī),進(jìn)而攻擊到其他應(yīng)用;容器可以通過(guò)內(nèi)網(wǎng)平面向其他容器發(fā)起攻擊,比如通過(guò)向Docker守護(hù)進(jìn)程發(fā)送創(chuàng)建新容器并且和宿主機(jī)聯(lián)合掛載文件的方式來(lái)達(dá)到另一種形式的“穿透”攻擊。容器銷毀時(shí),對(duì)應(yīng)掛載的volume數(shù)據(jù)會(huì)留在宿主機(jī)上,如果不主動(dòng)刪除則會(huì)造成數(shù)據(jù)泄露。

容器安全防護(hù)

上述風(fēng)險(xiǎn)都是容器云特有的風(fēng)險(xiǎn),所以除了一般云安全防護(hù)之外,容器云還需要針對(duì)以上風(fēng)險(xiǎn)做特殊防范。中興通訊結(jié)合業(yè)內(nèi)好實(shí)踐,將安全融入Dev&Ops,提出容器云安全三道防線解決方案,將容器云風(fēng)險(xiǎn)降至最低。

三大容器安全防線,護(hù)航云原生5G應(yīng)用

圖三:容器安全防護(hù)

第一道防線:正本清源

針對(duì)供應(yīng)鏈的“降維打擊”風(fēng)險(xiǎn),中興通訊組織專業(yè)團(tuán)隊(duì),構(gòu)建自研安全鏡像(base line)。在CI/CD過(guò)程中集成鏡像漏洞、惡意代碼掃描和準(zhǔn)入條件,基于基礎(chǔ)鏡像改進(jìn)的應(yīng)用鏡像,漏洞不治理完成或是有不合規(guī)配置,均無(wú)法提交,從源頭上杜絕惡意代碼引入。中興通訊容器云提供的服務(wù)均出自安全的鏡像源,大程度降低由鏡像引入的“天然”風(fēng)險(xiǎn),是容器云內(nèi)生安全最重要的一環(huán)。云用戶也可直接使用這些鏡像,減少引入的漏洞。

第二道防線:靜態(tài)分析

考慮到容器云還有第三方應(yīng)用會(huì)引入不可控鏡像,中興通訊容器云將CI/CD中使用的提供漏洞檢測(cè)和合規(guī)掃描功能引入到容器云中,使容器云可以檢查鏡像倉(cāng)庫(kù)中所有鏡像,阻擋風(fēng)險(xiǎn)鏡像運(yùn)行;也可以發(fā)現(xiàn)運(yùn)行中容器的風(fēng)險(xiǎn),主機(jī)和存儲(chǔ)掃描可以檢測(cè)volume與容器的關(guān)聯(lián)并提供清除volume的操作,防止數(shù)據(jù)泄露和“穿透”攻擊。第二道防線截?cái)嗔藧阂獯a引入到運(yùn)行環(huán)境的路徑,鏡像倉(cāng)庫(kù)也得到了保護(hù),尤其開(kāi)放給第三方使用邊緣云上,更顯其重要性。

第三道防線:動(dòng)態(tài)監(jiān)測(cè)

在兩道防線的精準(zhǔn)打擊下,常規(guī)惡意軟件已無(wú)所遁行,但部分漏網(wǎng)之魚(yú)尤其是APT(Advanced Persistent Threat)攻擊利用0day,可能會(huì)在容器云中運(yùn)行,此時(shí)必須使用第三道防線的動(dòng)態(tài)監(jiān)測(cè)功能。第三道防線提供了東西向虛擬防火墻和南北向應(yīng)用防火墻的功能,阻擋已知惡意流量入侵,也可以將依據(jù)通訊矩陣配置強(qiáng)制訪問(wèn)控制規(guī)則,僅放行容許需要的通訊端口流量;動(dòng)態(tài)監(jiān)測(cè)功能始終監(jiān)控進(jìn)出容器的流量和訪問(wèn)的文件,以自學(xué)習(xí)的方式為容器行為畫(huà)像,當(dāng)有異常流量出入容器時(shí),動(dòng)檢監(jiān)測(cè)會(huì)告警、攔截或進(jìn)行容器隔離;云用戶幾乎不需要做配置即可使用動(dòng)態(tài)監(jiān)測(cè)帶來(lái)的安全和便利,這對(duì)海量容器云運(yùn)維尤其重要。

總結(jié)

三道防線相輔相成,針對(duì)容器云特有的風(fēng)險(xiǎn)做精準(zhǔn)打擊,并可用于虛機(jī)容器和原生容器等多種場(chǎng)景,全面保障容器云安全。隨著5G垂直行業(yè)的開(kāi)展,容器云,尤其是邊緣云必將受中小企業(yè)的青睞,三道防線也會(huì)在垂直行業(yè)應(yīng)用中展現(xiàn)價(jià)值。一直以來(lái),中興通訊強(qiáng)調(diào)將安全融于血脈,容器云安全是這一理念的又一最好證明。

分享標(biāo)題:三大容器安全防線,護(hù)航云原生5G應(yīng)用
網(wǎng)站路徑:http://muchs.cn/news38/203238.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制開(kāi)發(fā)、做網(wǎng)站Google、小程序開(kāi)發(fā)、ChatGPT、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站