2023年8月,某区域的攻防演练刚刚结束,A公司的安全运维老周便逐渐取消了大部分重保安全产品的订阅。
但是,下掉安全产品的第二天,A公司的服务器迅速被通报存在挖矿行为,可能面临业务强制下线的风险。
这让老周百思不得其解,这不是公司第一次出现挖矿问题,在7月22日、8月1日、8月13日都收到了高危命令的告警,不过很快就排查出了主机上存在的高危漏洞,也做了修复和加固工作。“目前攻防演练都已经结束了,挖矿木马为什么又迅速卷土重来?”
老周立马找到腾讯云主机安全团队寻求帮助,安全专家Leo经验丰富——挖矿木马“杀不掉”,很大可能是容器存在漏洞!
Leo随即用腾讯云容器安全产品对A公司的服务器进行了一轮检测,发现A公司存在“Spring Cloud Gateway注入命令执行漏洞(CVE-2022-22947)”。Spring Cloud Gateway是一个非常流行和广泛使用的API网关框架,A公司业务团队采用了Spring Cloud Gateway技术栈搭建微服务网关,该组件在近期频发应急漏洞,攻击者通过批量探测工具,利用漏洞远程批量下发了挖矿脚本。
通过产品检出结果,终于找到了源头镜像,老周立马开启漏洞防御并将修复方案及影响镜像推给了业务团队。
但是,A公司有9K+的镜像、上百个容器,解决了一个漏洞问题,治标不治本,如何在容器环境下构建起整体方案,从镜像构建到运行时系统解决容器安全问题呢?这让老周头疼不已。
实际上,这是大部分企业的共同的痛点,公司安全运营团队人员不足,并没有专门人员负责容器安全,容器运维和业务团队对容器化的风险知之甚少。于是,在享受着技术架构升级带来的应用效能提升的同时,容器化带来的安全隐患也在不断被放大,引用不可信的镜像、k8s API接口梳理不清、操作权限管理空白带来的风险慢慢累积,直到黑客成功入侵才后知后觉。
如何填补容器化后的防护盲区?分享一个腾讯内部千万核规模容器安全最佳实践:
秘籍一:做好安全左移,从源头镜像减少收敛安全风险
腾讯云有千万核规模的容器集群,百万量级规模的容器镜像。如何高效收敛安全风险?关键就在于安全左移,从镜像构建环节入手,做好镜像供应链管理。
由于分层存储的特性,业务生成新镜像时,保存内容仅为最上层可读写文件系统中被更新过的文件,这样就实现了在不同的容器镜像间共享镜像层的效果。一般我们把共享镜像层称为基础镜像。基础镜像一旦出现严重漏洞、木马问题,所有的衍生镜像都会存在风险。根据腾讯安全内部的运维经验,百万级的镜像往往仅依赖数百个基础镜像进行构建,对1%的基础镜像做好把关,可以大大减少后续的安全管控压力。
因此,我们需要严格把关最原始的基础镜像的安全性,谨慎评估软件安装、权限开放的必要性。在业务构建初期,便引入镜像扫描能力对基础镜像进行安全性评估。
(容器安全仓库镜像截图)
在镜像存储阶段,优先关注业务最新版本的镜像的风险情况,避免存在严重、高危漏洞,木马病毒及配置管理不当的镜像拉取到本地。同时,可使用腾讯云容器安全产品进行仓库镜像扫描并设置镜像拦截策略,保障不安全的镜像无法运行容器。
(容器安全镜像拦截截图)
秘籍二:进一步收敛攻击面,一站式提升漏洞管理效率
可使用腾讯云自动上报容器、镜像、集群、节点等14种容器资产(支持腾讯云超级节点、原生节点等原生部署形态),一键梳理运行集群和容器,秉持“最小化原则”关闭非必要容器服务并核实是否有非标记镜像启动容器。同时,收敛暴露面,对开放服务及进程端口进行确认,按业务需要设置访问规则,并进行重点监控。
(容器安全资产管理截图)
对运行业务的容器、镜像、节点、集群设置定时基线扫描任务,检查容器资产的配置是否安全合规,对严重、高危的检查项及时进行整改,降低企业被攻陷的风险、满足合规要求。
设置定时任务,对运行有容器的镜像和集群环境进行风险检查,及时发现新爆发的漏洞风险。同时,开启泰石引擎RASP+漏洞防御,无需重启,自动防御热点漏洞攻击。
(容器安全漏洞管理截图)
秘籍三:使用多维检测手段,深度防御业务被入侵
由于容器隔离性弱及共享主机内核的特性,在容器环境下,一旦攻击者控制了单个容器,便可通过漏洞利用、敏感目录挂载等方式逃逸至宿主机获取更高权限,从而控制宿主机,甚至集群上面运行的所有容器业务。因此,企业需要针对多条攻击路径进行实时异常监控,可借助容器安全产品深度感知容器内的入侵事件,实时上报被攻击容器,自动拦截失陷容器。
(容器安全攻击路径总览)
开启八大入侵检测功能,对K8s异常请求、恶意外连、容器逃逸、反弹Shell、文件查杀等入侵行为进行实时监控。
设置木马自动隔离及异常进程拦截策略:企业可借助腾讯云容器安全服务主动防御能力,自动查杀流行木马、拦截异常进程及恶意文件篡改行为;并对已失陷的容器进行网络隔离,避免失陷进一步扩散。
(容器安全文件查杀截图)
借助容器安全能力,应对工作负载层技术升级带来的工作负载层部署密度大、调用关系复杂等新型安全挑战,结合主机安全一同筑牢服务器最后一道安全防线。同时,联动腾讯云云防火墙、WAF、云安全中心,从互联网流量边界、Web服务,再到工作负载层,一站式联动产品原子能力,全面构建“3+1”防护体系。
(“3+1”防护体系介绍)
原文始发于微信公众号(腾讯安全):我的服务器又失陷了 !| 攻防演练真实案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论