image.png

1 編排文件掃描

1.1 功能介紹

在云從業(yè)者的工作日常中，給集群創(chuàng)建一個(gè)新的資源，用 docker 寫個(gè)新的鏡像起個(gè)測(cè)試容器，就像每天摸魚必發(fā)表情包一樣高頻日常。

image.png

如果在摸魚的時(shí)候?qū)憣?dockerfile 和 yaml ，有沒有可能忘記了 yi 點(diǎn)點(diǎn)細(xì)節(jié)？不要小看這 yi 點(diǎn)點(diǎn)細(xì)節(jié)，例如配置了 --enable-skip-login 為 true ，那可能會(huì)造成集群未授權(quán)訪問的風(fēng)險(xiǎn)。

image.png

根據(jù) RedHat 報(bào)道，“人為錯(cuò)誤” 是 Kubernetes 安全事故的主要原因。配置不當(dāng)?shù)倪@類基礎(chǔ)設(shè)施將會(huì)在整個(gè) DevOps 流程中迅速流轉(zhuǎn)。存在風(fēng)險(xiǎn)的這類資源通常會(huì)給整個(gè)業(yè)務(wù)埋下安全隱患。

牧云通過掃描編排文件資源，對(duì)可能影響集群穩(wěn)定性、可靠性、可伸縮性和安全性的配置問題進(jìn)行檢測(cè)。

? 支持手動(dòng)上傳文件進(jìn)行編排文件編寫規(guī)范檢測(cè)

? 支持自動(dòng)識(shí)別集群配置文件進(jìn)行檢測(cè)

? 提供 k8s 、docker 官方標(biāo)準(zhǔn)規(guī)則庫(kù)，檢測(cè)權(quán)限配置、錯(cuò)誤設(shè)置等 多類型規(guī)則，全面支持 k8s pss-restricted、pss、extends 類 型規(guī)則

? 明確提供每條風(fēng)險(xiǎn)修復(fù)建議

? 與大多數(shù)開源工具相比，中文檢測(cè)詳情內(nèi)容更友好

? …

1.2 都有哪些檢測(cè)規(guī)則？

• 使用了 ADD 添加遠(yuǎn)程文件：使用 ADD 遠(yuǎn)程下載非常危險(xiǎn)，可能會(huì) ADD 指令將提取 tar 文件，這增加了基于 zip 的漏洞的風(fēng)險(xiǎn)。

• 使用了多個(gè) CMD 指令：一個(gè) Docker 文件中只能有一條 CMD 指令。如果你列出多個(gè) CMD，那么只有最后一個(gè) CMD 才會(huì)生效。

• secure-port 設(shè)置錯(cuò)誤：如果 system:anonymous 用戶被錯(cuò)誤地綁定到 cluster-admin 用戶組，6443 端口允許匿名用戶以管理員權(quán)限向集群內(nèi)部發(fā)布命令。

• 掛載了/proc：將 /proc 掛載進(jìn)容器內(nèi)部有可能造成容器逃逸

• …

1.3 使用教程

前往百川云平臺(tái)，使用 牧云·云原生安全平臺(tái) ，前往安全左移/編排文件 模塊：

https://rivers.chaitin.cn/?promotion=1e07cd415fe5eee58c14550c8452914e

image.png

1.3.1 自動(dòng)檢測(cè)

聯(lián)系小助手：connyclub ，免費(fèi)獲取集群資源集成方式，集成后平臺(tái)將自動(dòng)進(jìn)行編排文件風(fēng)險(xiǎn)檢測(cè)。

image.png

1.3.2 手動(dòng)上傳

點(diǎn)擊 上傳文件 按鈕，選擇需要檢測(cè)的文件上傳即可，上傳秒檢測(cè)。

image.png

image.png

2 逃逸風(fēng)險(xiǎn)檢測(cè)

2.1 功能介紹

在日常的攻防對(duì)抗中，既有自動(dòng)化容器逃逸工具（猜猜我說的是誰(shuí)？），就有 24h 實(shí)時(shí)監(jiān)控逃逸風(fēng)險(xiǎn)產(chǎn)品。

作為企業(yè)業(yè)務(wù)的安全守門員，我們僅通過開源工具的非即時(shí)性單次掃描很難實(shí)時(shí)關(guān)注入侵風(fēng)險(xiǎn)痕跡，極易錯(cuò)失真實(shí)攻擊行為。牧云通過被動(dòng)檢測(cè)的方式，實(shí)時(shí)關(guān)注運(yùn)行時(shí)環(huán)境中的容器逃逸風(fēng)險(xiǎn)并檢查告警，提供詳細(xì)的檢查依據(jù)和修復(fù)建議，保證 風(fēng)險(xiǎn)可檢測(cè)、問題可修復(fù)、運(yùn)營(yíng)可閉環(huán)。

image.png

2.2 支持哪些規(guī)則

• 特權(quán)容器：通過讀取目標(biāo)容器的 CapEff 值并進(jìn)行比對(duì)，檢測(cè)目標(biāo)容器是否以特權(quán)模式啟動(dòng)。避免由于特權(quán)模式啟動(dòng)容器帶來的逃逸風(fēng)險(xiǎn)。

• 不安全的linux Capability：通過讀取目標(biāo)容器的 CapEff 值，并將其解析后進(jìn)行比對(duì)，檢測(cè)目標(biāo)容器是否被賦予了某些不安全的 Capability。避免由于不安全的 Capability 造成的逃逸風(fēng)險(xiǎn)。目前支持檢測(cè)的 Capability 包括：DAC_READ_SEARCH、SYS_MODULE、SYS_PTRACE、SYS_ADMIN 等

• 不安全的掛載：檢查目標(biāo)容器的掛載目錄，查看是否有不安全的文件或目錄被掛載進(jìn)容器。避免由于某些敏感文件/目錄被掛載導(dǎo)致的逃逸風(fēng)險(xiǎn)。目前支持檢測(cè)的掛載文件/目錄包括：/、/lxcfs、/etc、/proc、/var、/root等。

• 共享命名空間：通過讀取目標(biāo)容器的 pid/ipc 值并進(jìn)行比對(duì)，檢測(cè)目標(biāo)容器使用時(shí)是否打破了進(jìn)程隔離共享 namespace。這可能會(huì)引起一些逃逸方式的利用。

• …

2.3 使用教程

前往百川云平臺(tái)，使用 牧云·云原生安全平臺(tái) ，前往 容器安全/逃逸風(fēng)險(xiǎn) 模塊，部署平行容器檢測(cè)引擎后將會(huì)實(shí)時(shí)自動(dòng)檢測(cè)容器逃逸風(fēng)險(xiǎn)：

https://rivers.chaitin.cn/?promotion=1e07cd415fe5eee58c14550c8452914e

image.png

image.png