本文插图
作者 | 阿里云容器安全专家 ， 徐越（乐枕） 头图 | CSDN 下载自东方 IC 出品 | CSDN（ID：CSDNnews）
【CSDN云上容器 ATT&CK 矩阵详解，阿里云助力企业容器化安全落地】 容器化带来的安全隐患
过去的2019 年是企业容器化爆发的一年 。 据统计已经有超过 90% 的互联网企业正在部署或使用容器 ， 希望能通过更为敏捷的方式快速响应市场需求 。
然而 ， 伴随着容器技术的快速发展 ， 容器安全问题也逐渐成为企业所关注的话题 ， 同时 ， 开发和运维人员缺乏对容器的安全威胁和最佳实践的认识也可能会使业务从一开始就埋下安全隐患 。 Tripwire的调研显示 ， 60%的受访者所在公司在过去的一年中发生过至少一起容器安全事故 。 在部署规模超过100个容器的公司中 ， 安全事故的比例上升到了75% ， 由此可见 ， 快速拥抱容器化带来的安全风险不容忽视 。 本文对云上容器ATT&CK矩阵做了详细阐述 ， 希望能帮助开发和运维人员了解容器的安全风险和落地安全实践 。
云上容器攻击矩阵概览
ATT＆CK?框架（Reference ATTACK Matrix for Container on Cloud）是网络攻击中涉及的已知策略和技术的知识库 。 为便于企业构建容器化应用安全体系 ， 阿里云在传统主机安全的基础上 ， 围绕自建容器集群以及云原生容器服务场景 ， 通过全面分析黑客攻击Docker和K8s的过程和手段 ， 推出容器安全ATT&CK矩阵 ， 让黑客无所遁形 ， 助力企业全面提升容器安全能力水位 。

本文插图
云上容器ATT&CK矩阵详解
1. Initial Access/初始访问
1.1 云账号AK泄露
云平台安全是云服务(容器服务、VM服务)的基础 ， 如果业务代码需要通过AccessKey的方式进行鉴权并与云服务通信 ， 应至少为每个云服务创建子账号并赋予需要的最小权限 ， 同时推荐使用云平台提供的角色（如阿里云RAM角色）进行认证和授权 。 在实践中我们发现 ， 存在部分管理员在进行代码托管时 ， 使用主账号AK(拥有全部云资源控制权限)并不慎将其泄露到公开仓库（如Github） ， 进而导致其云服务遭受入侵的场景 ， 针对这一风险点 ， 需要企业在使用云原生服务及容器化应用的过程中时刻关注 。
1.2 使用恶意镜像
部分容器开发者会使用公开的镜像源(如dockerhub)下载镜像并在业务环境中运行 ， 但如果不慎使用了存在漏洞的镜像 ， 会给业务带来安全风险 。 此外 ， 攻击者时常会将恶意镜像部署到dockerhub ， 并通过诱导安装或链路劫持对企业进行供应链攻击 。
示例：一个在Dockerhub中伪装成mysql的恶意镜像 ， 同时携带了挖矿程序：

本文插图
1.3 K8sAPI Server 未授权访问
K8s API Server作为K8s集群的管理入口 ， 通常使用8080和6443端口 ， 其中8080端口无需认证 ， 6443端口需要认证且有TLS保护 。
如果开发者使用8080端口 ， 并将其暴露在公网上 ， 攻击者就可以通过该端口API ， 直接对集群下发指令 ， 或访问/ui进入K8s集群管理dashboard ， 操作K8s实施破坏 。
1.4 K8s configfile 泄露
K8s configfile作为k8s集群的管理凭证 ， 其中包含有关K8s集群的详细信息 ， 包括它们API Server的地址和登录凭证 。 在购买托管容器服务时 ， 云厂商会向用户提供该文件以便于用户可以通过kubectl对集群进行管理 。 如果攻击者能够访问到此文件（如办公网员工机器入侵、泄露到Github的代码等） ， 就可以直接通过API Server接管K8s集群 ， 带来风险隐患 。

• 龙之队|解读华为云容器的战略布局，裸金属容器服务会是互联网新趋势吗？
• CSDN23 岁创业，28 岁成为福布斯亚洲青年领袖，这个“刷脸的男人”有点牛
• 足球小子|约书亚·金支持Black Lives Matter运动的膝盖
• 618 Battle名场面，好爸爸居然以一波"捣蛋"玩出圈了！
• 科记汇 AI开发者大会 | 360金融张家兴再揭数据AI融合中台面纱，CSDN
• CSDN如何通过自动增加索引，实现数据库查询耗时降低50%
• CSDN专访 | 观远数据吴宝琪：BI 最大的难点并不只在单点技术
• 孙越|德云社孙越晒午餐，没有大荤容器却引人注目，这样吃不胖才怪
• 旷视深度学习框架天元获评CSDN"AI开源贡献奖"
• 快商通智能客服云平台荣获CSDN“AI优秀案例实践奖”