青 藤 · 蜂巢云原生安全产品 青藤云安全，新一代 主机安全专家 连续四年入选 Gartner 全球安全指南云原生安全挑战 目录 蜂巢云原生安全产品 产品功能及应用场景 产品优势及案例 01 02 03 04www.qingteng.cn 云原生的安全挑 战 ━云原生代表了一系列新技术，包括容器编排、微服务架构、 不可变基础设施、声明式 API、基础设施即代码、持续交付 /持续集成、 DevOps 等，且各类技术间紧密关联。 CONTAINERS MICROSERVICES DEVOPSCONTINUOUS DELIVERY➢技术挑战 •云原生引入了大量基础设施新技术，导致安全工作者理解难度增加 ，云越来越像个黑盒 ，过去的安全工作多数只是围着核心业务外围转 。 ➢组织挑战 •安全建设和云基础设施关系紧密，导致安全职责需要重新考虑，安全组织和信息化其他 组织的关系无法简单定义为谁主管、谁建设、谁负责 。www.qingteng.cn 技术挑战：新的基础设施对 象 容器镜像 镜像及存储镜像的仓库，如 Harbor 、DTR 支持容器的运行环境 Docker 、rkt等容器运行时以及专门优化 Host OS 容器编排 集群化管理工具，如 k8s、mesos 、openshift 、swarm OBJECT STOREAGE CACHING DATABASEORCHESTRAT ION WEB APP Host CONTAINERIZED APPLICATION REGISTRY WEB SERVERWEB SERVER Container Runtime 微服务架构 产生了更多需要通过网络通信的服务 敏捷/开源 用户多 研究者多 安全隐患多www.qingteng.cn 组织挑战： DevSecOps ━通过容器相关技术实现 IT自动化和持续集成（ CI），持续部署（ CD），优化开发、测试、运维等所有环节 。 ━同时责任主体从不同部分的各司其职，转变成协作共担。 构建 Development Environments分发 Secure Content &Collaboration Registry (Docker hub / DTR) 运行 Allenvironments QA/Staging /Prod Testers /UsersVersion control Developers DEVELOPERS IT OPS DevSecOps •安全应融入整个 CI/CD 阶段 •而不是在研发之后www.qingteng.cn Attacker Root 权限运行容器 Node容器的入侵场 景 ━与物理机、虚拟机、云主机等环境一样，基于业务的入侵手段在容器环境中依然有效 。 利用漏洞上传 webshell 利用低于 4.5.2版本的 Wordpress 的 ImageMagic (CVE -2016 - 3714 )漏洞，向web目录中写入一 个webshell获取容器控制权 该webshell 执行bash 反向连接命令 ，当该命令被执行时黑客监控连接 端口，获取容器控制权获取宿主机操作权限 如果该容器运行为特权容器 ，或者宿 主机内核存在提权漏洞 ，则黑客入侵 到该容器后 ，即可逃逸到宿主机 ，进 而可以获取宿主机上的所有容器的权 限。控制更多其他容器 www.qingteng.cn K8S集群攻 击 ━2018 年，RedLock 公司工作人员发现：数百个 Kubernetes 管理控制台无需密码即可访问，即直接公开暴露在互联网之上，这些管控台被黑 客们蓄意利用从事非法“挖矿” , 著名汽车公司 Tesla 即曾惨遭此黑手 。 Kubernetes ATT&CK Matrix1234www.qingteng.cn HW容器逃逸实例 容器内 上 传 webshell 脏牛逃逸执行反弹