?Docker技術(shù)帶的IT變革?Docker自身的安全問(wèn)題?如何打造安全的容器云平臺(tái)kerITDockerDockerDockerDocker?容器自身提供了一個(gè)新的攻擊對(duì)象?容器間共享內(nèi)核帶來(lái)新的攻擊機(jī)會(huì)?容器自身的漏洞及調(diào)度方式的改變?新的部署方式對(duì)傳統(tǒng)安全工作的影響?容器的運(yùn)維和配置帶來(lái)新的安全問(wèn)題Docker術(shù)的自身安全問(wèn)題???可直接運(yùn)行在Baremetal上所有容器共享LinuxKernel通過(guò)DockerEngine進(jìn)行隔離???HardwareVirtualizationce?ce???操作系統(tǒng)級(jí)的虛擬化不如物理級(jí)虛擬化安全??容器與宿主機(jī)共用-個(gè)內(nèi)核,在容器中可以直接調(diào)用內(nèi)核提供cgroupcgroup不安全,且并非所有資源都已隔離??同-宿主機(jī)上的容器可以通過(guò)掛載共享宿主機(jī)文件系統(tǒng)??網(wǎng)絡(luò)的隔離比較弱,同-宿主機(jī)下所有容器共用-張物理網(wǎng)卡??容器產(chǎn)品自身的安全漏洞??用戶自定義的配置文件安全漏洞DockerDockerDockerDocker在安全性上做的努力ControlControlgroupsSELinuxSELinux,AppArmor,GRSEC,SeccompDockerDockerContentTrustNNamespace效果LinuxLinux2.4.19每個(gè)容器能看到不同的文件系統(tǒng)層次結(jié)構(gòu)每個(gè)容器能看到不同的文件系統(tǒng)層次結(jié)構(gòu)。LinuxLinux2.6.19和和me和hostname和hostnamedomainameLinuxLinux2.6.19源源,包括SystemVSystemVIPCPOSIX系統(tǒng),因此,只有在同一個(gè)IPCnamespace的進(jìn)程之間才能互相LinuxLinux2.6.24()();e為的之間遷移,因?yàn)楹?e為的之間遷移,因?yàn)楹统逃袃蓚€(gè):容器中的進(jìn)程;也使得容器可以在不同進(jìn)程;也使得容器可以在不同的和和始始于Linux2.6.24完成于于Linux2.6.29/proc/netIP地址,/proc/netIP地址,IP路由表,目錄,端口號(hào)等等。這也使得一個(gè)host上多個(gè)容器內(nèi)的同一個(gè)每個(gè)容器用有其獨(dú)立的網(wǎng)絡(luò)設(shè)備,應(yīng)應(yīng)用都綁定到各自容器的80端口上。始始于Linux2.6.23完成于于Linux3.8ID間在和在和;一個(gè)同;中的特權(quán)用戶。增加參數(shù):UserNamespace,可以讓容器有-個(gè)增加參數(shù):UserNamespace,可以讓容器有-個(gè)假的“”UserUserNamespace默默認(rèn)情況下,容器內(nèi)的進(jìn)程的運(yùn)行用戶就是host上的root用戶用用戶,它在容器內(nèi)是root,在容器外是-個(gè)非root用戶。--UTS-IPC-PID-Network-Usernetnetblsalkiomemorybpusetups可以單獨(dú)啟用或者關(guān)閉,因此同為參數(shù)設(shè)為true,ed可以單獨(dú)啟用或者關(guān)閉,因此同為參數(shù)設(shè)為true,ed為多個(gè)rootroot用戶,權(quán)限卻因Capabilities的不同而存在差異。DockerDocker為了確保容器的安全,僅僅支持了其中的14項(xiàng)基本的CapabilitiesddCapabilities:是-個(gè),主要的作用是設(shè)置某個(gè)可執(zhí)行程序的訪問(wèn)控制權(quán)限,可以限///讀文件,打開(kāi)讀:是-個(gè),主要的作用是設(shè)置某個(gè)可執(zhí)行程序的訪問(wèn)控制權(quán)限,可以限///讀文件,打開(kāi)讀漏定義安全策略。通過(guò)策略規(guī)定哪些域可以訪問(wèn)哪些上下文、哪些進(jìn)程可以訪問(wèn)哪些文件。/內(nèi)核強(qiáng)制性的訪問(wèn)控制內(nèi)核強(qiáng)制性的訪問(wèn)控制(MAC)???安安全策略機(jī)制,允許管理員更加靈活的是-個(gè)對(duì)內(nèi)核的安全擴(kuò)展,通過(guò)智能訪問(wèn)控制來(lái)阻止內(nèi)存破壞,預(yù)是-個(gè)對(duì)內(nèi)核的安全擴(kuò)展,通過(guò)智能訪問(wèn)控制來(lái)阻止內(nèi)存破壞,預(yù)防容容器共享宿主機(jī)的內(nèi)存,在內(nèi)存安全上存在不少問(wèn)題,需要針對(duì)內(nèi)存破壞做SSeccomptingmode允允許對(duì)系統(tǒng)調(diào)用進(jìn)行篩選,允許或拒絕系統(tǒng)調(diào)用““–security-optseccomp=<pro?le>”dockerrundsecurityoptseccompallow:clock_adjtimentpddockerrundsecurityoptseccompdenygetcwd/bin/sheHTTPSHTTPSHTTPsocketcaca.pemnonnetworkedUnixsocketandTLSmustbeenabled$docker--tlsverify--tlscacert=ca.pem--tlscert=cert.pem--tlskey=key.pem\-H=$HOST:2376version鏡像掃描鏡像掃描(DockerSecurityScanning)鏡鏡像簽名(DockerContentTrust)??Copy-on-Write)內(nèi)核的內(nèi)存子系統(tǒng)在處理寫時(shí)拷貝(部分緩解措施-步導(dǎo)致提權(quán)漏洞。:??Copy-on-Write)內(nèi)核的內(nèi)存子系統(tǒng)在處理寫時(shí)拷貝(部分緩解措施-步導(dǎo)致提權(quán)漏洞。:和過(guò)濾的組讓seccompLinuxLinuxkernel中存在本地提權(quán)漏洞。本地攻擊者可利用該漏洞獲取提升的權(quán)限,或使內(nèi)核崩潰提升的權(quán)限,或使內(nèi)核崩潰。條條件競(jìng)爭(zhēng)漏洞,導(dǎo)致可以破壞私有只讀內(nèi)存映射。-個(gè)低權(quán)限的本地地用戶能夠利用此漏洞獲取其他只讀內(nèi)存映射的寫權(quán)限,有可能進(jìn)在在-些操作系統(tǒng)這個(gè)漏洞可由,?,?DockerDocker已知的安全問(wèn)題??DockerV1.10前的版本沒(méi)有usernamespace,而之后的版本默認(rèn)不開(kāi)啟??DockerClient使用RestAPI與DockerDaemon通信存在安全問(wèn)題??容器的網(wǎng)絡(luò)端口默認(rèn)會(huì)綁定到所有的網(wǎng)卡上??Docker?le的復(fù)雜性和Docker鏡像處理存在風(fēng)險(xiǎn)DockerDockerDaemon必須以root權(quán)限運(yùn)行??同-臺(tái)主機(jī)上的容器因?yàn)楣蚕砭W(wǎng)橋可以相互通信??DockerClient默認(rèn)情況下不驗(yàn)證TLS證書??容器中有些操作需要root權(quán)限,如文件系統(tǒng)掛載?//proc,//sys,//devsyslogsyslog,timetime,系統(tǒng)命令等未做隔離非非????打造安全的容器云平臺(tái)??????????CPUCPU密集型計(jì)算服務(wù)器負(fù)載不均衡,資源利用率不服務(wù)器負(fù)載不均衡,資源利用率不高突突發(fā)流量不可測(cè)量,集群負(fù)載過(guò)重,不能自動(dòng)按需擴(kuò)集群負(fù)載過(guò)重,不能自動(dòng)按需擴(kuò)展用戶自定義應(yīng)用用戶自定義應(yīng)用(UFOP)質(zhì)量及規(guī)模未知數(shù)據(jù)處理容器平數(shù)據(jù)處理容器平臺(tái)鏡像倉(cāng)庫(kù)??????????????????API管理?內(nèi)的?權(quán)限)?控??eccomp??(對(duì)資源的配額和度量)制文件訪問(wèn)權(quán)限)Capability分)(限定系統(tǒng)的調(diào)用)???內(nèi)的?權(quán)限)?控??eccomp??(對(duì)資源的配額和度量)制文件訪問(wèn)權(quán)限)Capability分)(限定系統(tǒng)的調(diào)用)???????或若宿主機(jī)有多個(gè)網(wǎng)卡,將容器的上容容器云平臺(tái)安全基線(-)???對(duì)守護(hù)進(jìn)程,相關(guān)文件和的????對(duì)守護(hù)進(jìn)程,相關(guān)文件和的??????周周期性檢查每個(gè)主機(jī)的容器清單,???????創(chuàng)建本地鏡像倉(cāng)庫(kù)服務(wù)器鏡像中軟件都為最新版本使用可信鏡像文件,并通過(guò)安全通道下載重新構(gòu)建鏡像而非對(duì)容器和鏡像打補(bǔ)丁合理管理鏡像標(biāo)簽,及時(shí)移除不再使用的鏡像使用鏡像掃描使用鏡像簽名???????進(jìn)行安全權(quán)限運(yùn)行的容???????創(chuàng)建本地鏡像倉(cāng)庫(kù)服務(wù)器鏡像中軟件都為最新版本使用可信鏡像文件,并通過(guò)安全通道下載重新構(gòu)建鏡像而非對(duì)容器和鏡像打補(bǔ)丁合理管理鏡像標(biāo)簽,及時(shí)移除不再使用的鏡像使用鏡像掃描使用鏡像簽名???????進(jìn)行安全權(quán)限運(yùn)行的容器維持在-個(gè)能夠管理的數(shù)量周期性檢查每個(gè)主機(jī)的容器清單,監(jiān)控Docker容器的使用,性能,響應(yīng)功能收集服務(wù)容容器云平臺(tái)安全基線(二)????????統(tǒng)止????????統(tǒng)止容器最小化,操作系統(tǒng)鏡像最小集容器以單-主進(jìn)程的方式運(yùn)行容器以單-主進(jìn)程的方式運(yùn)行容器上運(yùn)行ssh服務(wù)器義限限制在容器中可用的進(jìn)程數(shù),以防通過(guò)APIserver交換數(shù)據(jù)、修改系統(tǒng)狀態(tài)，?且只有APIserver可以