容器安全技术容器网络安全防护

容器网络安全

防护4.5.2.1 微服务 Web 应用安全
对外的微服务,通常以 Web 或 HTTP 形态的应用和服务为主,如 Web 站点或支持 REST API的应用程序
。 为了保障这类应用的安全,可部署 Web 应用防火墙检测并阻断恶意 HTTP 请求。本节介绍如何进行 Web 相关应 用的网络安全防护,其它应用流量可见下一节威胁检测部分。微服务接收的流量可分为南北向流量和东西向流量,以 node1 为例,从外部网络(external network)访问 服务 Web5 的流量为南北向流量,该场景下可在外部网络部署 Web 应用防火墙
,如图所示:
node1:3000
node2:3000WAF
eth0 eth0
Iptables NAT table Iptables NAT table DOCKER-INGRESS DOCKER-INGRESS DNAT:3000->ingress-sbox DNAT:3000->ingress-sbox
docker_gwbridge docker_gwbridge
Container: eth1 172.17.0.2 eth1 eth1 172.19.0.2 Web5.2
x Iptables MANGLE table container x Iptables MANGLE table
bo Web5.1 bo
_s
s s_s 10.255.0.6 rIPREpatbRleOs U NATINGT table IPVS esIpatbles NAT table IPVS
es
10.255.0.4 r eth0
Ing PREROUTING
Ing
10.255.0.2 eth0 eth0 eth0
10.255.0.3
eth1 veth1 veth0
Vxlan tunnet
Bridge:br0 Bridge:br0 container : 10.255.0.1 10.255.0.1 Web5.3
veth2
Namespa
ce: ingress Namespace: ingressNode1 Node2
在容器环境内部,也存在大量的 API调用,甚至可以说数据中心大部分流量均为这些 API的调用请求和响应, 这部分流量称为东西向流量。防护这些流量则需要在宿主机内部网络部署虚拟 Web 应用防火墙,形态既可为虚 拟机(vWAF),也可为容器(cWAF)。由于在容器管理和编排系统中会根据业务需要,动态新增、删除容器实 例,所以需要与容器管理和控制平面对接,跟随网络变化动态部署虚拟 Web 应用防火墙。

以 node1 为例,由于 Web5 连接了 Ingress 网络(10.255.0.0/24)和容器内部网络(172.17.0.0/24),所以 如果要防护服务 Web5 在主机 node1 上的容器副本(本例中为容器 Web5.1),则可在网桥 docker_gwbridge 和 命名空间 ingress 中的网桥 br0 旁分别部署一个虚拟 WAF,如以旁路模式镜像流量可实现恶意请求的检测,如以 串接模式过滤流量可实现相应的防护。

node1:3000
eth0
Iptables NAT table
DOCKER-INGRESS
DNAT:3000->ingress-sbox WAF
eth0
docker_gwbridge
eth1 172.17.0.2 eth1 container
x Iptables MANGLE table
bo
_s Web5.1
s
es Ipatbles NAT table
r PREROUTING IPVS 10.255.0.4 Ing
10.255.0.2 eth0 eth0 veth1
Bridge:br0
10.255.0.1 Ingress WAF
veth2
eth0 Namespace: ingress
Node1
通过软件定义网络(SDN)技术可实现流量的灵活调度,有可能使用更少的 Web 应用防火墙实现相应的安 全防护,相关技术在绿盟科技的《2015 软件定义安全 SDS 白皮书》[58]有详细介绍,在此不做赘述。
4.5.2.2 网络安全防护
在每个主机和服务器上部署容器防火墙,使之拥有本地 Docker Daemon 进程的完全访问权,鉴于其部署在 容器网络内部,因此很容易监控到容器网络的异常行为,特别是恶意攻击者在容器间的横向移动,同时可以在内 部集成机器学习模块,自动学习安全策略,从而更有效保护容器安全。
由于其分布式特性,容器防火墙可提供有效的本地监和保护。通过与 Docker 引擎、容器编排管理工具的 无缝集成,容器防火墙还可以提供除了访问控制外的其它功能,如对主机和容器的安全审计、安全测试以及资源 监。从这个意义上看,容器防火墙本质上是容器网络中的安全策略强化点,而非传统意义上的狭义防火墙。具 体地,该强化点通常包含以下功能:

  • 容器网络通信的深度检测以及可视化,获得准确的应用程序知识来保护容器;
  • 主机进程监视、进程权限升级监视、可疑进程监视;
  • 静态扫描或者动态实时漏洞扫描。镜像仓库扫描、主机扫描和运行中容器的漏洞扫描;
  • 基于 CIS安全基准的容器审计检查;
  • 抓取容器原始数据包,用于取证和调试。
    为了保护容器的部署和运行安全,容器防火墙要能够支持虚拟化的工作负载,需要能够自主学习应用程序的 行为,能够智能产生安全策略以及能够与容器编排平台无缝集成。

容器运行时,通常网络安全检测引擎需要检测如下项:

  • 未经授权的网络连接;
  • 被非法利用的可信 IP/ 端口;
  • 已知的对应用程序的网络攻击;
  • 数据盗窃、反向 Shell 通道、隐藏的网络管道;
  • 容器进程权限升级,容器内部以及容器主机的恶意进程;
  • 未经授权的网络出口 / 入口控制。

参考资料

绿盟 容器安全技术报告

友情链接

CSA 谷歌 BeyondCorp系列论文合集

你可能感兴趣的:(安全,web安全,网络)