容器安全作为云原生安全的重要组成部分,为用户业务的云原生落地提供了重要的安全保障。但是由于云原生架构和云原生应用的复杂性,以及不同厂商的容器安全产品在能力上的参差不齐,相应的安全防御能力是否达到了实际的防护效果,这是在运营中面临的重要挑战。
本文将结合腾讯云在容器安全的运营实践,分析介绍如何通过安全验证度量,从攻击者视角持续发现防御的弱点,提升防御水平,实现云原生架构下的高质量安全运营。
业务全面拥抱云原生,安全责任重大
近年来,云原生架构的采纳率大幅攀升,据中国信通院在2023年底发布的针对国内用户的研究报告显示,90%以上的用户已经使用或者计划使用容器技术,50.71%的用户已经将容器技术应用于核心生产环境,27.5%的用户已将容器技术用于次核心生产环境。
以腾讯为例,早在2022年6月就已经实现了内部海量自研业务的全面上云,包括微信、王者荣耀、腾讯会议等,达到了数千万核的上云规模,建设并维护着国内最大规模的Kubernetes集群,打造了国内最大规模的云原生实践。
而作为腾讯云安全的运营方,面对容器化基础设施覆盖度极高,承载业务量极大,如此大规模容器集群安全性的防御,其重要性极高,一旦发生安全事件,将影响巨大。因此务必要确保事前、事中、事后各项安全措施全面、有效的发挥作用。
容器安全的运营难度高、挑战大
安全运营本身就是一个系统且复杂的问题,而容器安全的运营给运营者更是带来了新的挑战。
因此,在做容器安全的运营时,最常见的一个问题就是,安全产品会检出成千上万个安全风险,那这些风险全部都需要修复吗?如果资产规模较小还有可能,但是像腾讯这种,面对数千万核的集群、千万量级的容器镜像,如果把安全产品检出的所有风险全部逐一修复,那几乎是不现实的。
实际情况就是只能修一部分,那修的这些风险够不够,没有修的是不是就一定不会被利用,如果被利用了,安全能力能不能防御住。这些都是在安全运营过程中遇到的难以确定的问题。
以1月底的runc CVE-2024-21626漏洞为例,从官方纰漏的信息来看该漏洞几乎影响了runc所有的发行版本,而runc作为容器环境的基础组件,几乎所有的集群节点均受影响,影响范围非常的广。但是这种基础组件对于存量集群来说,升级起来难度较大。
根据对该漏洞的研判发现,漏洞的利用需要一定的前提条件,比如对内核版本有一定要求、对业务镜像有一定要求。在这种情况下完成了应急修复后,怎么来评价我们的系统是否还存在风险,这时就需要进行安全验证,我们第一时间上线了针对该漏洞的安全验证,高效的辅助运营完成了漏洞的应急处置。像这种例子,在容器安全的运营中,非常常见,单runc组件近年来就纰漏多个高危以上的漏洞。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
安全厂商能力参差不齐,产品边界不清晰
云原生架构的落地规模持续增长,叠加带来的安全需求也在不断增长,因此,对应的容器安全以及云原生安全产品也快速的涌现。
容器安全在最近的五六年发展时间里,几乎所有的传统综合性安全厂商、云厂商、创业公司纷纷推出了自己的容器安全产品,或者是云原生安全产品。Gartner、IDC、安全牛、数世咨询等国内外咨询机构报告的厂商就有十多家,实际上可选的产品将有几十种。除了专有的容器安全产品,传统的主机安全产品、云安全产品、甚至云厂商会在一定程度上实现云的内生安全。
尽管经过了几年的发展,但是容器安全还是一个相对较新的赛道,各家厂商对容器安全的认知、定义不可避免的存在差异,因此产品边界、能力边界,能力水平相差也较大。
对于甲方用户来说,如何在各种琳琅满目的产品中进行选择,实现相对完善的防御体系建设,是一件困难的事。用户不可避免会产生能力是否够用、是否有用的顾虑。
综合上述几点内容,我们结合腾讯自身的安全运营痛点,建设并实践了基于攻击模拟技术(BAS)的安全验证平台,尤其是针对容器环境进行安全有效性的验证度量,从攻击者视角,模拟真实的攻击,确保整个容器环境的安全可靠。
要想对容器安全的防御体系进行验证度量,那么首先要做的就是要制定全面和合理的验证度量指标,确保验证度量的完整性与合理性。在度量指标的设计上,主要参考以下几个维度的内容进行设计:(1)ATT&CK攻防矩阵框架;(2)腾讯蓝军实践经验以及安全研究成果;(3)腾讯容器安全相关产品能力;(4)腾讯容器安全运营实践;(5)标准、技术要求等行业规范。
攻击者视角下的指标设计
首先就是从攻击者视角下,确定容器安全的度量指标,要尽可能的覆盖到所有可能被使用的攻击手段。云鼎实验室在2021年发布了“云安全攻防矩阵”(https://cloudsec.tencent.com/home/),到现在已经迭代更新到了3.0版本,矩阵覆盖了从初始访问到攻击影响的全部9个阶段,其中明确指出了针对容器环境的攻击技术战术内容,几乎覆盖了所有容器环境下的攻击手段。
针对容器安全的度量指标,覆盖了矩阵中所有的容器安全相关的技战术内容,可以从各个攻击阶段的维度,对容器安全进行验证度量。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
除此之外,从攻击视角看,还会结合腾讯蓝军在历次的内外部红蓝演练中,面向容器环境沉淀的攻击手法与技巧。这些实践经验,一方面会对矩阵的技战法做有效的补充,同时可以从实践的维度,对各个指标从可利用难易度的角度,进行更真实的风险等级划分,使得验证指标有着更好的完整度和可运营、可执行性。
防守者视角下的指标设计
除了从攻击视角外,另一方面就是从防守者视角,围绕各项容器安全相关的产品能力,进行度量指标的设计,从而确保相关能力全部发挥了作用。
(1)腾讯在内部的容器安全能力建设上,自研了容器安全产品能力,对于容器安全相关的能力要求以及原理、安全规则等,有着深入的理解和认知,这些都会作为度量指标的设计参考,以及验证剧本的指导性输入。有了产品能力的基础,在一定程度上,验证指标和验证剧本的设计就是类似白盒测试一样,更具有针对性。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
(2)数千万核规模的容器集群安全运营经验,同样是我们度量指标设计的一个重要参考。在运营过程中,我们逐步积累了各种风险出现的频率、积累了各种安全事件的攻击手法。高频率的风险、高频率的事件、全新的攻击手法,这些真实的运营数据,对于指标设计以及指标权重、风险等级等属性设计,都有着重要的意义和价值。
合规视角的指标设计
除了上述攻防两个角度的设计参考之外,针对容器安全的验证指标设计还参考了等保、行业标准、各种国内外研究机构的规范要求等合规视角的能力要求。
以等保为例,2023年7月1日,《网络安全等级保护容器安全要求》正式实施,标准对容器管理平台、计算节点、镜像仓库、容器实例、容器镜像等均提出了明确的安全防护要求。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
除了等保的标准之外,还包括信通院牵头发布的“云原生安全成熟度标准”、CSA大中华区牵头发布的“云原生安全技术规范”等国内的标准规范,以及OWASP、CNCF等国际组织发布的安全要求。值得一提的是,这些国内的标准规范腾讯都是深度的参与编写单位,对于规范的内容要求有着深刻的认知和理解。
结合上述三个维度的内容输入,我们设计了针对容器安全的验证指标体系。其中包括了集群安全、运行时安全、网络安全与镜像安全四个一级验证指标项,容器逃逸检测、挖矿木马检测等40余个二级指标项。验证场景涵盖了IPDRR全生命周期的安全能力,指标示例如下图所示。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
验证指标示例
云原生安全测试平台
2022年6月召开的云原生产业大会上,由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。会上,中国信通院还联合腾讯安全云鼎实验室发布了“云原生安全测试平台”。
该平台是国内首个云原生安全的测试验证平台,由腾讯安全云鼎实验室承担总体架构设计,联合云原生安全实验室的多家单位和企业共同研发,由中国信通院运营,匹配落地云原生安全多项标准,对国内云原生产业生态提供开放性的安全测试基准,将在很大程度上推动云原生环境安全性的判断、云原生相关安全能力的确认、以及云原生安全建设的有效性,解决云原生用户的选型困境及在云原生安全产品上遇到的燃眉之急。
腾讯安全验证服务
除了社区和产业的合作之外,结合前文介绍的各项验证指标体系设计,在腾讯安全验证服务中,发布了针对容器环境的安全验证度量方案。实现了每个指标下的所有可以使用的攻击手法,形成了验证剧本。用户可以选择具体的验证剧本,对容器安全针对特定攻击的防御能力进行验证。
以容器逃逸的验证为例,容器逃逸场景是容器业务面临最多的攻击之一,因此,对容器逃逸攻击的防御能力验证是许多业务方的核心关注点。这里我们对如何实现容器逃逸场景的验证度量进行说明。
常见的导致容器逃逸的原因可以简单的划分为两类:
● 配置不当导致的容器逃逸:不当的Capabilities权限分配、敏感目录的不安全挂载、以及docker.sock的错误挂载等;
● 漏洞相关的容器逃逸:涵盖了内核漏洞(如著名的“脏牛”漏洞)和容器软件漏洞(例如runc漏洞)等;
针对每一种可以实现逃逸的攻击方法,我们编写了相应的攻击剧本,这些剧本详细定义了在特定类型的节点上执行的逃逸操作。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
然后就是验证针对容器逃逸的检测能力,这里既可以选择特定的剧本(特定的逃逸手段)进行验证,也可以根据产品内置的容器逃逸验证场景,对所有的可以造成容器逃逸的攻击手段进行验证。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
选择好验证场景和剧本后,就是对验证任务进行设计和编排,这个例子中只需要选择期望执行验证的攻击代理即可。
![安全验证 | 容器安全的验证度量实践]( "安全验证 | 容器安全的验证度量实践")
这样,一个针对容器逃逸防御能力的验证就完成了。为了实现持续的防御能力验证,我们可以将上述验证任务配置成周期执行。
基于容器技术的云原生架构,越来越多的在企业进行落地,容器的安全保障越来越得到了重视。在容器安全建设的基础上,需要进行安全防御的验证度量,确保安全体系持续有效。
容器技术以及云原生相关的技术仍在不断的发展和演进,暴露出来的安全风险和攻击手段也在不断增多,安全验证度量的指标体系以及场景剧本的内容,也需要不断的进行迭代完善,确保业务安全的进行云原生升级。
腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。
目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。
原文始发于微信公众号(云鼎实验室):安全验证 | 容器安全的验证度量实践
评论