主頁 >  其他 > 從重大漏洞應急看云原生架構下的安全建設與安全運營(上)

從重大漏洞應急看云原生架構下的安全建設與安全運營(上)

2022-01-28 06:57:34 其他

前言

近年來,云原生架構被廣泛的部署和使用,業務容器化部署的比例逐年提高,對于突發重大漏洞等0day安全事件,往往給安全的應急帶來重大的挑戰,例如前段時間廣受影響的重大漏洞的爆發,可以說是云原生架構下安全建設和安全運營面臨的一次大考,

本文將以該高危任意代碼執行漏洞作為案例,分享云原生架構下的安全建設和安全運營的思考,

漏洞處置回顧

漏洞爆發后,第一時間關注的一定是攻擊者能否利用漏洞攻擊業務系統,可以通過哪些方式實施攻擊,對于容器環境,從攻擊視角來看,通常可以有以下幾種入侵途徑,

圖1

1)通過容器主機實施攻擊,這種通常是由于主機配置問題引起,例如對公網開放并且未開啟認證的Docker RemoteAPI,或者是未開啟認證的Kubernetes API Server,

2)通過脆弱的容器實施攻擊,這種型別攻擊主要以容器環境中部署應用程式的脆弱性作為攻擊突破口,

3)通過投毒的鏡像實施攻擊,主要通過對公共倉庫中的鏡像進行投毒,當鏡像被拉取運行時,即可執行相關的攻擊操作,

攻擊者可以做什么?

本次log4j2漏洞的影響,主要是體現在第二種攻擊方式上,也就是攻擊者會通過受影響的應用程式,利用漏洞對容器化的應用實施攻擊,

一旦第一步漏洞利用成功,接下來就會按照通常的滲透攻擊邏輯,一方面在主機執行惡意程式;另一方面通過橫向移動,擴大攻擊范圍,這里的橫向移動既會涉及主機層面的容器逃逸,也包括東西向網路層面的移動攻擊,

如何快速回應處置?

云原生架構下,在漏洞的應急回應上,總體思路和傳統安全事件的應急是一致的,首先需要對漏洞的原理以及可能被利用的方式進行分析,確定修復和緩解方案,同時制定相關安全產品的防護規則,實作對漏洞利用的檢測和攔截,最后就是有條不紊的進行漏洞的修復和處置,

在容器環境中,具體可以梳理出如下的一些關鍵操作步驟:

  • 首先,需要確定現有業務的受影響范圍,例如:確定倉庫中所有受漏洞影響的鏡像,確定受影響的線上業務;

  • 其次,升級相關安全產品的防護策略,例如通過WAF規則以及防火墻規則等實作對漏洞利用的攻擊進行一定程度的暫時性攔截;必要時升級運行時檢測策略,一旦入侵成功,可以快速的發現并進行處置,

  • 最后,就是修復漏洞,升級到官方發布的修復版本,

為什么不容易

安全應急或者安全運營的效率,很大程度上依賴安全能力的建設,上述處置步驟,相對來說是理想情況下的一種處置流程,或者是需要在一套完善的安全能力建設基礎之上才可以輕松實施的處置流程,

根據騰訊云在2021年11月份發布的《騰訊云容器安全白皮書》顯示,當前云原生用戶在安全能力的建設上可謂是參差不齊,像鏡像漏洞掃描、主機安全加固以及集群監控審計等基礎安全能力,落地部署的比例也僅僅只有50%左右,甚至有7%的用戶在云原生的使用時沒有任何安全能力的部署,

圖2

因此,在這樣的現狀下,面對log4j2這樣的0day漏洞,在應急處置上,難免會出現各種捉襟見肘的問題,

控制影響范圍

對于漏洞的處置,首先就是控制漏洞影響范圍,因為漏洞的修復需要一定的時間周期,像log4j2這種使用范圍如此之廣的組件,甚至有預測,漏洞影響將會持續很長一段時間,因此控制新的影響資產增加也是十分重要的,

這里主要體現在兩個方面:

(1)防止包含漏洞鏡像的入庫,CI集成以及鏡像入庫等階段,需要嚴格進行安全檢查,防止漏洞的引入,

(2)防止包含漏洞鏡像的運行,在新的服務啟動運行時,需要檢測相關鏡像是否包含漏洞,對于未通過安全檢測的鏡像,要嚴格阻止其啟動運行,

怎么確定受影響范圍

1)識別所有受到漏洞影響的鏡像

在確定業務的受影響范圍時,如果部署了容器鏡像安全掃描的能力,安全廠商通常會在第一時間更新漏洞庫或檢測規則,用戶可以直接通過對鏡像倉庫的所有鏡像進行掃描發現受影響的鏡像,

如果沒有部署鏡像安全掃描,騰訊云容器安全服務提供7天的免費試用,用戶可以通過其中的鏡像掃描功能,對鏡像資產進行排查,最差情況下,用戶可以使用開源的鏡像掃描工具(例如Clair/Anchore/Trivy等)進行問題排查,但是有一點需要注意,使用開源工具前,要確保漏洞庫或者檢測規則已經包含了對目標漏洞的檢測,

2)識別受影響的運行作業負載

當確定了受影響的鏡像后,就需要根據這個串列確定受影響的線上業務,假如我們的日常安全運營做的足夠完善,理論上這個串列跟受影響的業務串列應該是一致的,或者是我們需要部署相應的安全能力,實作鏡像資產到線上業務資產的映射,

假如這些都沒有的話,就需要逐個集群的檢索當前使用的鏡像,判斷其是否受到影響,例如可以使用“kubectl describe pods --all-namespaces| grep image”這種最粗暴的指令獲取集群運行業務所使用的所有鏡像,

到這里我們發現,如果倉庫中鏡像的數量太多,其實也可以采用另一種思路,先使用類似“kubectl describe pods --all-namespaces| grep image”這樣的命令,逐個集群查詢到所有線上業務使用的鏡像,然后對于這些鏡像定向的進行漏洞檢測,

怎么修復

面對漏洞的爆發,所有人都希望能充分了解這個漏洞,并在第一時間使用對應的補丁解決問題,不幸的是:一方面,軟體開發和測驗需要時間周期,漏洞的修復不會那么快;另一方面,在微服務架構下,受影響的鏡像可能會非常多,這同樣給漏洞的修復帶來很大的挑戰,

因此,在漏洞修復的同時,我們可以通過建議的緩解措施進行緩解,例如,對于log4j2漏洞,可以添加jvm啟動引數:

-Dlog4j2.formatMsgNoLookups=true進行暫時的緩解,

但是,在云原生架構下,應用程式的啟動命令以及運行引數等資訊,都是直接打包在鏡像中,這樣又回到前文提到的問題,如果受影響的鏡像數量非常龐大的時候,這種臨時的緩解措施在實施起來也將面臨重大的挑戰,

在云原生架構下,我們看到可以有幾種針對漏洞的緩解性操作:

(1)修改線上運行環境

我們可以通過kubectl edit pod…命令,修改線上服務Pod的運行引數,實作漏洞的緩解,針對批量的運行引數修改,我們也推出了一個開源的工具 ,

值得注意的是,上述處置方式在修改完引數之后,會自動重啟服務,用戶在使用時,需評估相應的重啟風險,

圖3

(2)利用漏洞特性緩解

以log4j2為例,這是個遠程任意代碼執行的漏洞,簡單來說,就是在列印日志時,如果發現日志內容中包含關鍵詞 ${,那么這個里面包含的內容會當做變數來進行替換,導致攻擊者可以任意執行命令,

因此在進行漏洞緩解時,可以利用漏洞的這一特性,將緩解指令通過漏洞傳進去,實作利用漏洞來緩解漏洞的效果,

這種方法針對不同的漏洞,不具有普適性,

(3)漏洞利用的阻止

前面兩種操作,都是從漏洞本身出發,通過緩解方式,使得漏洞不能被利用,另外一種緩解措施就是一旦前述緩解措施失效或被繞過,可以在漏洞利用的關鍵路徑上,進行操作的攔截,從而達到漏洞緩解的效果,

這種操作對安全能力有一定的依賴,一方面,安全能力需要能夠檢測出漏洞利用的行為,另一方面,需要能夠精準的對行程行為進行阻斷,尤其是對于log4j2這種任意代碼執行的漏洞,漏洞利用的檢測對安全能力有著較高的要求,

通過上述幾種臨時緩解措施后,接下來我們需要做的就是,結合線上環境使用的鏡像以及業務重要性和優先級等因素,有條不紊的將受影響的組件升級至官方發布的穩定修復版本,

云原生架構下安全運營的挑戰和優勢

從上述漏洞處置的程序我們可以發現,云原生架構下在漏洞的處置修復上,容器環境既面臨一定的挑戰,同時也有著一定的優勢,

挑戰

1)鏡像數量大,一方面,由于log4j2本身就是應用范圍很廣的組件,而且在微服務架構下,應用又會進行很多細粒度的微服務拆分,因此在倉庫中會受影響的鏡像會涉及到很多個Repositories;另一方面,由于DevOps等敏捷開發流程的使用,鏡像倉庫中的每一個鏡像又會有很多個版本(每個Repository有很多個Tags),因此,在漏洞處置的程序中會發現,掃描出來的受影響鏡像數量巨大,

2)僵尸鏡像,所謂的僵尸鏡像,其實可以理解為存盤在倉庫中的舊版本鏡像,或者過期鏡像,已經幾乎不會再被運行使用,如果對倉庫中的鏡像沒有很好的管理機制,這種僵尸鏡像的數量也會非常大,這種現象其實也很好理解,DevOps帶來業務快速的迭代,自然就會產生大量的過期鏡像,

在常規的安全運營中,這些僵尸鏡像原則上是應該及時被清除的(不需要考慮備份回滾的問題,代碼倉庫會有),這種清除操作不僅僅是需要覆寫鏡像倉庫,同樣適用于主機上的僵尸鏡像,

3)不可變基礎設施,云原生架構的一個典型特征就是不可變的基礎設施,所謂的不可變基礎設施,是指一旦部署了服務之后決不允許被修改,如果需要以任何方式更新、修復或修改某些內容,則需要修改相對應的鏡像,構建全新的服務鏡像來替換舊的需要改變的服務鏡像,經過驗證后,使用新的鏡像重新部署服務,而舊的則會被洗掉,

這種特性,給我們針對線上業務在進行漏洞緩解的時候帶來了很大的不便,一方面體現在修改應用的運行引數和環境變數等資訊上;另一方面體現在這種緩解措施的修改,會引發運行時安全的再次告警,因為這種操作違背了不可變基礎設施的要求,不是正常的業務操作流程,

優勢

? 資產可視化,快速定位,資產問題一直是安全建設和安全運營中重要的問題,同時也是最讓人頭疼的問題,云原生架構很好的解決了資產的問題,通過Kubernetes等編排平臺以及鏡像倉庫等組件,可以讓我們快速的進行資產梳理、問題定位,

? 流程自動化,快速生效,Kubernetes等編排平臺提供了一整套的業務自動化管理方案,包括配置管理、服務編排、任務管理等,因此,對于漏洞的修復可以實作快速分發和對應的灰度升級等,

? 安全左移,快速控制,能夠在CI/CD等多個環節進行安全左移檢測,鏡像入庫前的檢測,阻止包含漏洞鏡像推送到倉庫,降低增量風險;在運行時進行準入檢測,對于包含漏洞風險的鏡像,阻止其啟動運行,減小線上環境新增暴露面,

? 微服務架構,在微服務架構下,應用間相對獨立,這給漏洞修復帶來的好處,一方面,針對某個鏡像的漏洞修復,影響范圍小,提高漏洞修復效率;另一方面,微服務架構下,服務功能單一,很多重復的功能會形成獨立服務,這樣減小了修復數量,

這次漏洞的爆發,給我們在云原生安全建設和運營上敲響了警鐘,以該事件作為切入點,企業在云原生架構的落地程序中,需要系統全面的考慮安全能力的建設和運營了,我們將在下一篇文章中,結合自身實踐,系統的分享我們對于云原生架構下安全建設和安全運營的思考,

關于騰訊容器安全服務(TCSS)

騰訊容器安全服務(Tencent Container SecurityService, TCSS)提供容器資產管理、鏡像安全、集群安全、運行時入侵檢測等安全服務,保障容器從鏡像構建、部署到運行時的全生命周期安全,幫助企業構建容器安全防護體系,

騰訊從2018年9月30日啟動全面云原生上云戰略,至今已經有數千萬核心規模,容器安全服務產品團隊結合業內最大規模容器集群安全治理運營經驗打磨產品,推動行業標準及規范的撰寫制定,并首發《騰訊云容器安全白皮書》,對國內容器環境安全現狀進行分析總結,助力云原生安全生態的標準化和健康發展,

關于我們

即刻關注【騰訊云原生】公眾號,回復“虎虎生威”,領取騰訊定制紅包封面~

福利:

①公眾號后臺回復【手冊】,可獲得《騰訊云原生路線圖手冊》&《騰訊云原生最佳實踐》~

②公眾號后臺回復【系列】,可獲得《15個系列100+篇超實用云原生原創干貨合集》,包含Kubernetes 降本增效、K8s 性能優化實踐、最佳實踐等系列,

③公眾號后臺回復【白皮書】,可獲得《騰訊云容器安全白皮書》&《降本之源-云原生成本管理白皮書v1.0》

③公眾號后臺回復【光速入門】,可獲得騰訊騰訊云專家5萬字精華教程,光速入門Prometheus和Grafana,

【騰訊云原生】云說新品、云研新術、云游新活、云賞資訊,掃碼關注同名公眾號,及時獲取更多干貨!!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/421818.html

標籤:其他

上一篇:Serverless 年終技術盤點 :工業、學術、社區遍地開花,國內廠商迅速卡位

下一篇:從重大漏洞應急看云原生架構下的安全建設與安全運營(下)

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more