容器运行时刻安全防护手段?

企业应用的稳定运行离不开运行时刻的安全防护手段。采用什么手段可以较好的进行实时监控和告警诸如面向容器内部入侵,容器逃逸,病毒和恶意程序,异常网络连接等常见的运行时刻攻击行为。同时针对告警事件的溯源和攻击分析提供有效能力。我能想到的方法有使用边车或守护进程来主动监控Pod的流量和系统调用。监控应用日志和系统日志。还有没有其他的方法可以更快的发现安全问题。

5回答

dean25dean25  软件架构设计师 , 民生银行
menglunyangeric赞同了此回答
目前很多主流安全厂商,已经在主机入侵检测里加入了对于容器进行入侵检测的能力,比如提权、高位命令、逃逸、恶意程序等,只需要在容器宿主机山部署相关的Agent。不建议通过sidecar做这种事情,资源和管理开销太大。另外,容器本身是一个沙箱,可以通过dockerfile的安全加固措施,增加...显示全部

目前很多主流安全厂商,已经在主机入侵检测里加入了对于容器进行入侵检测的能力,比如提权、高位命令、逃逸、恶意程序等,只需要在容器宿主机山部署相关的Agent。不建议通过sidecar做这种事情,资源和管理开销太大。另外,容器本身是一个沙箱,可以通过dockerfile的安全加固措施,增加webshell渗透的难度。面向互联网的防护可以继续依赖WAF。

收起
 2022-05-20
浏览204
匿名用户匿名用户
menglunyang赞同了此回答
随着云原生技术体系的发展,相应的云原生安全也越发受到更多企业重视,特别是网络安全已成为国家战略的背景下,企业在落地云原生安全体系中,也需认清云原生体系带来的技术、组织挑战,并同步开始建设相应的云原生安全防控体系,在企业云原生安全防控体系建设中,建议从以下维度开展:1...显示全部

随着云原生技术体系的发展,相应的云原生安全也越发受到更多企业重视,特别是网络安全已成为国家战略的背景下,企业在落地云原生安全体系中,也需认清云原生体系带来的技术、组织挑战,并同步开始建设相应的云原生安全防控体系,在企业云原生安全防控体系建设中,建议从以下维度开展:

1、云原生安全防控总体原则
云原生安全防控的总体原则,是在企业已有安全原则之上,根据云原生技术特点进行的补充,建议原则考虑:
1)安全左移:传统应用安全防控一般会更加偏重于生产运行态度,但在云原生技术体系下,应用的迭代和部署会更加迅速,传统的模式在这类高敏状态下并不一定能良好支持,一个好的原则就是安全左移,在应用设计阶段即纳入安全流程,并在建设过程中通过一些列的工具、卡点,配合DevOps平台、各类工具做实安全检查,做到上线即安全。
2)可观测性:可观测性不仅作为云原生实施必备的原则之一,也是云原生安全防控的必须原则,这里的可观测性,更多指在云原生安全方面的观测性,比如镜像的扫描状态、网络流量拓扑、容器运行情况等,通过可观测性建设为各类安全活动提供基础。
3)持续响应:持续响应主要关注容器的运行态,目标为能够对生产运行态的各类容器运行情况作出有效响应,包括异常行为,动态熔断,实时监测等。

2、容器镜像安全防控体系;
3、Kubernetes基础设施安全防控体系;
4、容器运行时方案防控体系

收起
 2022-05-20
浏览175
liyuanlongliyuanlong  信息安全工程师 , 中原银行
容器运行时目前有多种办法:1、通过宿主机agent的形式来监控容器行为,包括入侵,反弹shell等行为2、通过平行容器的方式来监控容器,效果类似,与上一个的区别在于无法监控宿主机的行为3、通过进程白名单的形式,建议采用这种形式。容器与主机不同,就在于其足够单一,一个容器的进程通...显示全部

容器运行时目前有多种办法:
1、通过宿主机agent的形式来监控容器行为,包括入侵,反弹shell等行为
2、通过平行容器的方式来监控容器,效果类似,与上一个的区别在于无法监控宿主机的行为
3、通过进程白名单的形式,建议采用这种形式。容器与主机不同,就在于其足够单一,一个容器的进程通常不会太复杂,因此,可以通过白名单的形式来进行安全监控,实现方式平行容器和宿主机agent都可
4、流量监测的形式发现异常行为,这种目前不太好做,因为容器内部流量较大,尤其时集群内东西向流量,因此流量监测能做,但是不好做

现在的建议是采用进程白名单的形式来做

收起
 2022-06-23
浏览78
wangchang365wangchang365  研发工程师 , 兴业数字金融服务(上海)股份有限公司
在可观测性方面,EBPF技术用于容器的安全检测目前也是一个方向。显示全部

在可观测性方面,EBPF技术用于容器的安全检测目前也是一个方向。

收起
 2022-05-22
浏览157
twt352twt352  se , tk
红帽官方有个acs的解决方案,可以支持k8s类的平台,契合云原生理念,可以沟通了解下。显示全部

红帽官方有个acs的解决方案,可以支持k8s类的平台,契合云原生理念,可以沟通了解下。

收起
 2022-05-20
浏览187

提问者

menglunyang
系统工程师中国银行
擅长领域: 云计算容器容器云

问题状态

  • 发布时间:2022-05-18
  • 关注会员:6 人
  • 问题浏览:933
  • 最近回答:2022-06-23