容器安全技术容器网络安全防护

容器网络安全

防护4.5.2.1 微服务 Web 应用安全
对外的微服务，通常以 Web 或 HTTP 形态的应用和服务为主，如 Web 站点或支持 REST API的应用程序
。 为了保障这类应用的安全，可部署 Web 应用防火墙检测并阻断恶意 HTTP 请求。本节介绍如何进行 Web 相关应 用的网络安全防护，其它应用流量可见下一节威胁检测部分。微服务接收的流量可分为南北向流量和东西向流量，以 node1 为例，从外部网络（external network）访问 服务 Web5 的流量为南北向流量，该场景下可在外部网络部署 Web 应用防火墙
，如图所示：
node1:3000
node2:3000WAF
eth0 eth0
Iptables NAT table Iptables NAT table DOCKER-INGRESS DOCKER-INGRESS DNAT:3000->ingress-sbox DNAT:3000->ingress-sbox
docker_gwbridge docker_gwbridge
Container: eth1 172.17.0.2 eth1 eth1 172.19.0.2 Web5.2
x Iptables MANGLE table container x Iptables MANGLE table
bo Web5.1 bo
_s
s s_s 10.255.0.6 rIPREpatbRleOs U NATINGT table IPVS esIpatbles NAT table IPVS
es
10.255.0.4 r eth0
Ing PREROUTING
Ing
10.255.0.2 eth0 eth0 eth0
10.255.0.3
eth1 veth1 veth0
Vxlan tunnet
Bridge:br0 Bridge:br0 container : 10.255.0.1 10.255.0.1 Web5.3
veth2
Namespa
ce: ingress Namespace: ingressNode1 Node2
在容器环境内部，也存在大量的 API调用，甚至可以说数据中心大部分流量均为这些 API的调用请求和响应， 这部分流量称为东西向流量。防护这些流量则需要在宿主机内部网络部署虚拟 Web 应用防火墙，形态既可为虚 拟机（vWAF），也可为容器（cWAF）。由于在容器管理和编排系统中会根据业务需要，动态新增、删除容器实 例，所以需要与容器管理和控制平面对接，跟随网络变化动态部署虚拟 Web 应用防火墙。

以 node1 为例，由于 Web5 连接了 Ingress 网络（10.255.0.0/24）和容器内部网络（172.17.0.0/24），所以 如果要防护服务 Web5 在主机 node1 上的容器副本（本例中为容器 Web5.1），则可在网桥 docker_gwbridge 和 命名空间 ingress 中的网桥 br0 旁分别部署一个虚拟 WAF，如以旁路模式镜像流量可实现恶意请求的检测，如以 串接模式过滤流量可实现相应的防护。

node1:3000
eth0
Iptables NAT table
DOCKER-INGRESS
DNAT:3000->ingress-sbox WAF
eth0
docker_gwbridge
eth1 172.17.0.2 eth1 container
x Iptables MANGLE table
bo
_s Web5.1
s
es Ipatbles NAT table
r PREROUTING IPVS 10.255.0.4 Ing
10.255.0.2 eth0 eth0 veth1
Bridge:br0
10.255.0.1 Ingress WAF
veth2
eth0 Namespace: ingress
Node1
通过软件定义网络（SDN）技术可实现流量的灵活调度，有可能使用更少的 Web 应用防火墙实现相应的安 全防护，相关技术在绿盟科技的《2015 软件定义安全 SDS 白皮书》[58]有详细介绍，在此不做赘述。
4.5.2.2 网络安全防护
在每个主机和服务器上部署容器防火墙，使之拥有本地 Docker Daemon 进程的完全访问权，鉴于其部署在 容器网络内部，因此很容易监控到容器网络的异常行为，特别是恶意攻击者在容器间的横向移动，同时可以在内 部集成机器学习模块，自动学习安全策略，从而更有效保护容器安全。
由于其分布式特性，容器防火墙可提供有效的本地监和保护。通过与 Docker 引擎、容器编排管理工具的 无缝集成，容器防火墙还可以提供除了访问控制外的其它功能，如对主机和容器的安全审计、安全测试以及资源 监。从这个意义上看，容器防火墙本质上是容器网络中的安全策略强化点，而非传统意义上的狭义防火墙。具 体地，该强化点通常包含以下功能：

• 容器网络通信的深度检测以及可视化，获得准确的应用程序知识来保护容器；
• 主机进程监视、进程权限升级监视、可疑进程监视；
• 静态扫描或者动态实时漏洞扫描。镜像仓库扫描、主机扫描和运行中容器的漏洞扫描；
• 基于 CIS安全基准的容器审计检查；
• 抓取容器原始数据包，用于取证和调试。
  为了保护容器的部署和运行安全，容器防火墙要能够支持虚拟化的工作负载，需要能够自主学习应用程序的 行为，能够智能产生安全策略以及能够与容器编排平台无缝集成。

容器运行时，通常网络安全检测引擎需要检测如下项：

• 未经授权的网络连接；
• 被非法利用的可信 IP/ 端口；
• 已知的对应用程序的网络攻击；
• 数据盗窃、反向 Shell 通道、隐藏的网络管道；
• 容器进程权限升级，容器内部以及容器主机的恶意进程；
• 未经授权的网络出口 / 入口控制。

参考资料

绿盟 容器安全技术报告

友情链接

CSA 谷歌 BeyondCorp系列论文合集