《云原生安全攻防》 云原生攻防矩阵

在本节课程中，我们将开始学习如何从攻击者的角度思考，一起探讨常见的容器和K8s攻击手法，包含以下两个主要内容：

• 云原生环境的攻击路径: 了解云原生环境的整体攻击流程。

• 云原生攻防矩阵: 云原生环境攻击路径的全景视图，清晰每一步采取的攻击技术。

在这里，我们梳理了一条相对完整的云原生环境的攻击路径，如图所示，通过这张图，我们可以清晰地看到整个攻击流程，大致可以将攻击路径拆分为六个步骤。

1. 初始访问：攻击者通过web渗透或社交工程等手段获得初始访问权限。
2. 容器内攻击：攻击者在容器内执行命令，通过信息收集和网络探测，试图获取容器内的敏感数据或对其他容器进行攻击。
3. 容器逃逸：攻击者尝试利用容器运行时的漏洞或错误配置，从一个容器逃逸到宿主机，以获取更高的权限。
4. 横向移动：攻击者在云原生环境中横向移动，从一个节点横向到另一个节点，以获取更高级别的权限。
5. 权限提升：攻击者试图获取更高级别的权限，例如从普通用户升级为管理员权限，获取整体集权的访问权限。

6. 集群控制：攻击者获取对整个K8s集群的控制权，对云原生环境进行控制或破坏，可能包括修改配置、窃取敏感数据、拒绝服务攻击等。

借助ATT&CK框架，我们可以系统地整理和归纳容器和K8s的攻击行为，从攻击者的视角提炼出关键的战术和技术，构建一个全面的攻击者视角的知识库。

目前，多个云厂商和安全厂商都已经梳理了多个针对容器安全的威胁矩阵，我们可以参考这些成熟的模型，结合个人对云原生安全的理解，构建自己的攻防矩阵。然后通过不断的学习和实践，我们可以持续优化和补充这个攻防矩阵，从而有效提升对云原生环境的保护能力。

针对云原生环境的攻击技术，与传统的基于Windows和Linux的通用攻击技术有很大的不同，在这里，我们梳理了一个针对容器和K8s常见攻击技术的云原生攻防矩阵。

视频版：《云原生安全攻防》--云原生攻防矩阵

原文始发于微信公众号（Bypass）：《云原生安全攻防》-- 云原生攻防矩阵