13518219792
青藤云安全是主打 “自適應安全” 理念,專注在 “主機安全” 的安全初創(chuàng)公司。2014年成立至今,青藤云安全分別在2015年和2018年拿下了6000萬的A輪以及2億元的B輪融資,并連續(xù)三年(2017~2019)作為唯一中國廠商入選Gartner云工作負載保護平臺市場指南。
讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:域名與空間、虛擬空間、營銷軟件、網(wǎng)站建設、山南網(wǎng)站維護、網(wǎng)站推廣。
2018年對于青藤云安全而言是關鍵的一年。除了B輪融資到位外,青藤云安全在9月還正式發(fā)布了其首個重量級平臺產(chǎn)品—— 青藤萬相·主機自適應安全平臺 。萬相以承載業(yè)務的工作負載流為核心,對主機上的資產(chǎn)、狀態(tài)、關鍵活動等進行感知,并生成安全指標,用于持續(xù)分析和風險發(fā)現(xiàn),且適配物理機、虛擬機和云環(huán)境。11月,青藤云安全還和騰訊安全正式達成戰(zhàn)略合作,作為可選安全組件(天眼云鏡)出現(xiàn)在騰訊云的私有云標準方案中。
更多認可:以主機agent的形式來做安全
青藤云安全雖然是安全初創(chuàng)企業(yè),但也有了4年多的 歷史 。讓張福引以為傲,也最讓他放心不下的,是青藤云安全選擇的這條技術(shù)路線,即不以流量分析為主,而是通過在物理主機安裝輕量級agent的形式,選擇這樣一個位置來做安全。
青藤萬相核心架構(gòu)
自適應安全架構(gòu)的四個能力象限,預測-檢測-防御-響應,青藤云安全看準的 “檢測” 能力。但和目前主流的檢測思路不同,扎根于 “攻防理念” 的思路因缺乏足夠深度和全面的可見性,對自身和攻擊的理解都不足。如果要足夠清晰、準確的認識自身、攻擊及其帶來的影響,張福認為,需要足夠扎實的感知能力作為支撐。而實現(xiàn)此的技術(shù)方式,就是在物理主機上安裝agent,以此為 “據(jù)點” 收集信息。己方的、敵方的,以及攻擊者試圖抹除的。
但從客戶的角度,擔憂也很明顯。主機agent的形式,雖然安全離威脅近了,但安全離業(yè)務也近了。如果安全產(chǎn)品成熟度不夠,出現(xiàn)了問題,導致了業(yè)務系統(tǒng)受到負面影響甚至服務中斷,那么客戶的安全或IT負責人,必不可少要承擔更多的責任。
可以看到,安全工作中的平衡,體現(xiàn)在方方面面。
2018年,客戶的反饋,以及業(yè)界對基于主機的產(chǎn)品形態(tài)的跟進,張福坦言,讓他輕松了許多。
先說客戶。客戶對這種形式的顧慮,從2018年大量的反饋來看,張福認為已經(jīng)開始減少。這個轉(zhuǎn)變,得益于數(shù)字化轉(zhuǎn)型的趨勢,讓客戶越來越認識到云化后安全對于業(yè)務的重要性。
“
之前更多是合規(guī)市場,滿足基線即可。同時,因為業(yè)務系統(tǒng)的開放性相對較弱,所以給對手留下的攻擊面也小很多。但上云后,一切都不一樣了。安全對業(yè)務的支撐和影響變得更加重要,對更好的安全能力,而不只是部署了哪些產(chǎn)品的需求,更加強烈。
無疑,從主機這個離(業(yè)務)數(shù)據(jù)、威脅都更近的的位置來做安全,效果會比純粹的流量檢測更好。這也滿足了客戶的需求。而青藤云安全對產(chǎn)品成熟度的追求,以及產(chǎn)品部署后持續(xù)維護、改進的大量投入,則最大程度減少了客戶對 “可能給業(yè)務系統(tǒng)造成負面影響” 的憂慮。
而這兩點,也是張福認為,除了技術(shù)思路外,自身產(chǎn)品能力重要的優(yōu)勢所在。
這兩個重要優(yōu)勢,張福認為也得益于另一個點,就是青藤云安全的產(chǎn)品打磨思路。據(jù)張福介紹,青藤云安全的產(chǎn)品從研發(fā)到銷售,不是傳統(tǒng)廠商等產(chǎn)品足夠成熟后再尋找客戶的思路,而是在初具雛形時就會在國內(nèi)尋找愿意嘗試新的技術(shù)思路、有一定程度容錯能力的客戶,通過產(chǎn)品在客戶的真實IT環(huán)境中,不斷進行產(chǎn)品成熟度的打磨。例如招商銀行、平安 科技 ,據(jù)張福介紹,都是自身安全實踐和理解都走在比較靠前的兩個青藤云安全的重要客戶。
再談談業(yè)界。
眾所周知,青藤云安全連續(xù)多年在Gartner的云工作負載保護平臺市場指南榜上有名,對業(yè)內(nèi)的技術(shù)趨勢青藤云安全也一直跟的很緊。對青藤而言,業(yè)界的主流產(chǎn)品形態(tài)的改變,意味著對青藤云安全的技術(shù)路線選擇的一種印證。
張福表示,近兩年的行業(yè)會議,RSA、ISC等,EDR的崛起,特別是如CrowdStrike等廠商,依托主機側(cè)輕量級代理的的形式實現(xiàn)的入侵檢測和響應能力,正逐漸成為業(yè)界廠商的主流思路。
“
從產(chǎn)品角度,主機安全不應是一系列產(chǎn)品,而是一個核心做安全的位置。就像網(wǎng)絡安全這四個字,有一層重要含義,就是在網(wǎng)絡層來做安全。主機安全,業(yè)界目前的主流思路和我們一致,就是要通過在主機上安裝agent來做。而且,可以看到,安全能力正在從傳統(tǒng)的網(wǎng)絡側(cè)移向主機側(cè),通過 ‘位置’ 的改變,實現(xiàn)能力的跨越式提升。這個趨勢已經(jīng)可以明顯的感受到。這會是整個產(chǎn)業(yè)的一個大升級。
2018年,青藤云安全發(fā)布了其重要的平臺級產(chǎn)品 “萬相”,在產(chǎn)品成熟度、客戶和業(yè)界的接受度上,張福認為已經(jīng)達到了預期;2019年,張福表示,首先,要基于“萬相”這個平臺,在產(chǎn)品能力上有所提升,真正解決客戶問題。比如說弱口令的發(fā)現(xiàn),這個需求看似很簡單,而且有多家掃描器支持,但是實際情況是因為服務器對口令嘗試頻率的限制,效果并不好。但是如果通過主機agent做類似“白盒”的底層解析,不僅效率高,而且能夠查出之前大量的漏報。
之后,就是新產(chǎn)品的方向。
青藤云安全不是銷售導向的公司,所以張福始終認為做產(chǎn)品要“克制”,要謹慎,并且多年持續(xù)投入打造產(chǎn)品的準備。
上一個系列,青藤云安全的產(chǎn)品能力傾向感知或者說威脅發(fā)現(xiàn);下一個,張福目前有兩個計劃,一是補足感知之后的分析能力,二是基于主機agent技術(shù)的積累,擴充一個安全場景。
新能力:攻擊回溯與容器安全
先介紹要補充的分析能力。
青藤云安全最新發(fā)布的 青藤星池·大數(shù)據(jù)分析平臺 ,定位在攻擊場景的回溯分析,是青藤云安全威脅感知能力的延伸。
青藤云安全之前在威脅感知有多年的積累,其萬相平臺的 “資產(chǎn)清點、漏洞發(fā)現(xiàn)、入侵檢測等“ 能力是典型代表。有了這些積累,下一步,張福認為,要補充分析能力。用張福的話說,是根據(jù)這些感知能力提供的線索,把整個攻擊的過程回溯出來。
“
一旦發(fā)生安全事件,客戶高層第一時間關心的并不會是誰攻擊了我,或是他怎么進來的,而是我損失了什么。因為視損失的內(nèi)容,后續(xù)的處置,包括問責、懲罰等,都可大可小。更嚴重的是,攻擊者是否已經(jīng)窺探、甚至拿到了一些高敏感數(shù)據(jù)。這些問題,之前大量的安全產(chǎn)品都是回答不了的,因為缺乏視野。主機上的agent,我認為是必備基礎。
簡單理解,和攻擊溯源的目的不同,“星池”是利用大數(shù)據(jù)分析的相關技術(shù),還原整個攻擊鏈,特別是從客戶資產(chǎn)的角度,記錄攻擊者的行為軌跡,明確客戶的損失。
“
不僅要能快速、準確的發(fā)現(xiàn)攻擊,也要高效地搞清來龍去脈,從感知到分析,對于青藤這是重要的能力延展。未來,我們還會融入處置響應的能力。實現(xiàn)安全閉環(huán),才能更好的幫助客戶提升安全能力。當然,這個閉環(huán)青藤不一定都要自己做,我們是非常開放而且看重合作的。青藤只做我們認為客戶缺失的(能力),是要讓客戶的安全能力達到應有的高度,而不是搶市場,重復解決問題,甚至劣幣驅(qū)逐良幣。
容器安全是另一個新場景。
張福認為,容器是云計算的未來。國內(nèi)很多互聯(lián)網(wǎng)、金融行業(yè)的客戶,都在快速擁抱容器。可以預見,容器將會很快成為主流的基礎設施形態(tài)。
容器是一個新技術(shù),而且使用便捷,但不代表安全問題就會少。張福表示,從云主機到容器,安全問題反而是有增無減,因為目前開發(fā)者更多還是在容器功能性上的完善。比如容器鏡像的后門問題,幾乎沒有有效可靠的檢測方法。反觀業(yè)界,專注容器安全的廠商并不多;同時,思路幾乎都是基于容器間的流量分析來做,像是傳統(tǒng)的IPS放在容器這個形態(tài)下。但只是這樣,張福認為能力深度并不夠。
“
青藤做容器安全是很天然的,因為我們四年多的積累都在主機側(cè),80%以上的技術(shù)經(jīng)過對容器的重新適配后都可以復用。
據(jù)了解,青藤云安全的 容器安全產(chǎn)品“蜂巢” ,只需要在承載容器的物理機上安裝agent,就可以將安全能力做到容器內(nèi)進程行為的深度;同時在管理上,“蜂巢”可以在萬相平臺上進行統(tǒng)一管理,方便客戶將安全能力和策略隨著業(yè)務在各形態(tài)間遷移。
張福表示,客戶在使用容器的時候就已經(jīng)在考慮安全問題了,這是之前做安全不具備的條件。青藤云安全的核心是保證工作負載(workload)的安全,無論它的形態(tài)是怎樣。主機agent的形式,張福認為在容器這個場景下也是有足夠優(yōu)勢和獨特競爭力的。后續(xù),也會把容器間的流量分析作為補充能力加入,成為一個綜合性產(chǎn)品。
不可否認,目前,容器安全在中國還是早期市場。所以,對于“蜂巢”,青藤云安全的思路更多還是進行開放行的測試,為后續(xù)產(chǎn)品化的過程做鋪墊。
“
首先,‘蜂巢’ 會支持應用較為廣泛的開源容器,比如docker、國內(nèi)的靈雀云,并開放給在容器的應用走在前面,有大量應用場景而且愿意和我們合作的客戶,幫助我們不斷的改進,一起成長。這也是產(chǎn)品化過程所必須要有的投入,我們的目標是在3-4年后,成為容器安全領域的領先者。
等保2.0:云安全合規(guī)解讀
此外,作為國內(nèi)的安全企業(yè),青藤云安全也必須要足夠重視合規(guī)的市場需求,特別是在5月13日正式發(fā)布等級保護2.0一系列標準后。
云計算系統(tǒng)網(wǎng)絡架構(gòu)是扁平化的,業(yè)務應用系統(tǒng)與硬件平臺松耦合。所以,首先,在云計算系統(tǒng)邊界劃分上,存在兩個典型場景:一是業(yè)務應用不獨占硬件物理資源的情況,定級系統(tǒng)的邊界應劃在虛擬邊界處;二是業(yè)務應用對應的系統(tǒng)模塊存在相對獨立的底層服務和硬件資源,系統(tǒng)邊界劃分到硬件物理設備上。
其次是在安全責任及定級方面。程度認為,要綜合考慮被測系統(tǒng)是云計算平臺還是業(yè)務應用系統(tǒng),以及被測系統(tǒng)的服務模式,來判斷不同的安全責任。
此外,在定級過程中還需注意下面4點:
1. 云計算平臺安全保護等級,原則上不低于其承載的業(yè)務系統(tǒng)的安全保護等級。
2. 國家關鍵信息基礎設施(重要云計算平臺)的安全保護等級應不低于第三極。
3. 在云計算環(huán)境中,應將云資源平臺作為單獨定級對象,云租戶側(cè)的等級保護對象也應作為單獨的定級對象定級。
4. 對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象。
在建設整改方面,云等保中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內(nèi)容,并強調(diào)安全能力在云平臺建設中的集成。在平臺內(nèi)部,強調(diào)通訊加密與認證、動態(tài)監(jiān)測預警、快速應急響應能力建設、安全產(chǎn)品合規(guī)等能力要求。
據(jù)了解,青藤云安全已經(jīng)推出針對云等保2.0中安全計算環(huán)境部分的解決方案,覆蓋通用要求中身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范,以及資源控制六個部分。
相關閱讀
這家初創(chuàng)公司做自適應安全
騰訊安全與青藤云安全:高安全能力與創(chuàng)新安全公司的結(jié)合
容器有多安全?
很多人認為,容器比虛擬機安全性更低,因為如果容器主機內(nèi)核存在漏洞,那么它可以提供一種進入共享它的容器的方法。管理程序也是如此,但由于管理程序提供遠遠少于Linux內(nèi)核(通常實現(xiàn)文件系統(tǒng),網(wǎng)絡,應用程序進程控制等)的功能,因此它的攻擊面更小。
但是在過去的幾年里,為了增強容器的安全性開發(fā)了大量的軟件。
例如,Docker(和其它容器系統(tǒng))現(xiàn)在包括一個簽名的基礎架構(gòu),允許管理員簽署容器鏡像,以防止不可信的容器被部署。
然而,可信任的簽名容器不一定可以安全運行,因為在簽名后容器中的一些軟件可能會被發(fā)現(xiàn)漏洞。因此,Docker和其它容器提供容器安全掃描方案,可以就容器鏡像是否有任何可被利用的漏洞而通知管理員。
更專業(yè)的容器安全軟件也被開發(fā)出來了。比如Twistlock,它提供的軟件可以配置容器的預期行為和“白名單”進程,網(wǎng)絡活動(如源和目標IP地址和端口),甚至是某些存儲實踐,以便可以標記任何惡意的或意外的行為。
另一家專業(yè)的容器安全公司Polyverse采用了不同的方法。它利用了這樣一個事實,容器可以在幾分之一秒內(nèi)啟動,以便每隔幾秒在已知的良好狀態(tài)中重新啟動容器化應用程序,將黑客必須利用在容器中運行的應用程序的時間最小化。
哪一個Linux發(fā)行版適合用作容器主機?
如果Linux發(fā)行版的預期用途只是充當容器主機來運行容器,那么它們大多數(shù)都是功能上臃腫的。因此,很多Linux發(fā)行版本被設計為專門用于運行容器。
一些例子包括:
·Container Linux(以前的CoreOS Linux)—為容器而構(gòu)建的第一個輕量級容器操作系統(tǒng)之一。
·RancherOS –由容器構(gòu)建的簡化的Linux發(fā)行版,專門用于運行容器。
·Photon OS - 最小的Linux容器主機,被優(yōu)化在VMware平臺上運行。
·Project Atomic Host - Red Hat的輕量級容器操作系統(tǒng)擁有基于CentOS和Fedora的版本,Red Hat Enterprise Linux中還有一個下游企業(yè)版本。
·Ubuntu Core - 最小的Ubuntu版本,Ubuntu Core被設計為用于物聯(lián)網(wǎng)設備和大規(guī)模云端容器部署的主機操作系統(tǒng)
如果是Windows環(huán)境會怎么樣?
除了在任何運行3.10(或更高版本)的Linux內(nèi)核的Linux發(fā)行版上運行,Docker還可以在Windows上運行。
這是因為在2016年,微軟在Windows Server 2016和Windows 10中引入了運行Windows容器的能力。這些是為Windows設計的Docker容器,并且它們可以在任何Docker客戶端或微軟的PowerShell中進行管理。
(微軟還引入了Hyper-V容器,這些容器是運行在Hyper-V虛擬機中的Windows容器,用于增加隔離度。)
Windows容器可以部署在Windows Server 2016的標準安裝中,精簡的Server Core安裝或Nano Server安裝選項,專門用于在容器或虛擬機中運行應用程序。
除了Linux和Windows之外,Docker還在流行的云平臺上運行,包括亞馬遜的EC2,谷歌的 Compute Engine,微軟的Azure和Rackspace。
容器最終會取代全面的服務器虛擬化嗎?
由于一些重要的原因,這在可預見的未來不太可能。
首先,仍然有廣泛的意見認為虛擬機比容器提供了更高的安全性,因為它們提供了增強的隔離級別。
其次,可用于編排大量容器的管理工具還不如管理虛擬化基礎架構(gòu)的軟件(如VMware的 vCenter或微軟的System Center)全面。對這類軟件進行了大量投資的公司在沒有充分理由的情況下不太可能放棄他們的虛擬化基礎架構(gòu)。
也許更重要的是,虛擬化和容器也開始被視為互補技術(shù)而不是敵對技術(shù)。這是因為容器可以在輕量級虛擬機中運行,以增加隔離度,進而提高安全性,并且因為硬件虛擬化可以更輕松地管理支持容器所需的硬件基礎架構(gòu)(網(wǎng)絡、服務器和存儲)。
VMware鼓勵投資虛擬機管理基礎架構(gòu)的客戶在其輕量級虛擬機上的Photon OS容器Linux發(fā)行版上運行容器,而這些輕量級的虛擬機可以在vCenter進行管理。這是VMware的“VM中的容器”策略。
但是,VMware還引入了所謂的vSphere集成容器(vSphere Integrated Containers ,VIC)。這些容器可以被直接部署到獨立的ESXi主機,也可以像虛擬機一樣被部署到vCenter Server。這是VMware的“容器作為虛擬機”策略。
這兩種方法都有其優(yōu)點,但重要的是,能夠在虛擬化基礎架構(gòu)中使用容器而不是替換虛擬機,這往往是很有用的。
以Docker 容器的安全問題為例
(1) Docker 自身安全
Docker 作為一款容器引擎,本身也會存在一些安全漏洞,CVE 目前已經(jīng)記錄了多項與 Docker 相關的安全漏洞,主要有權(quán)限提升、信息泄露等幾類安全問題。
(2) 鏡像安全
由于Docker 容器是基于鏡像創(chuàng)建并啟動,因此鏡像的安全直接影響到容器的安全。具體影響鏡像安全的總結(jié)如下。
鏡像軟件存在安全漏洞:由于容器需要安裝基礎的軟件包,如果軟件包存在漏洞,則可能會被不法分子利用并且侵入容器,影響其他容器或主機安全。
倉庫漏洞:無論是Docker 官方的鏡像倉庫還是我們私有的鏡像倉庫,都有可能被攻擊,然后篡改鏡像,當我們使用鏡像時,就可能成為攻擊者的目標對象。
用戶程序漏洞:用戶自己構(gòu)建的軟件包可能存在漏洞或者被植入惡意腳本,這樣會導致運行時提權(quán)影響其他容器或主機安全。
(3) Linux 內(nèi)核隔離性不夠
盡管目前Namespace 已經(jīng)提供了非常多的資源隔離類型,但是仍有部分關鍵內(nèi)容沒有被完全隔離,其中包括一些系統(tǒng)的關鍵性目錄(如 /sys、/proc 等),這些關鍵性的目錄可能會泄露主機上一些關鍵性的信息,讓攻擊者利用這些信息對整個主機甚至云計算中心發(fā)起攻擊。
而且僅僅依靠Namespace 的隔離是遠遠不夠的,因為一旦內(nèi)核的 Namespace 被突破,使用者就有可能直接提權(quán)獲取到主機的超級權(quán)限,從而影響主機安全。
(4) 所有容器共享主機內(nèi)核
由于同一宿主機上所有容器共享主機內(nèi)核,所以攻擊者可以利用一些特殊手段導致內(nèi)核崩潰,進而導致主機宕機影響主機上其他服務。
既然容器有這么多安全上的問題,那么我們應該如何做才能夠既享受到容器的便利性同時也可以保障容器安全呢?下面我?guī)銇碇鸩搅私庀氯绾谓鉀Q容器的安全問題。
如何解決容器的安全問題?
(1) Docker 自身安全性改進
事實上,Docker 從 2013 年誕生到現(xiàn)在,在安全性上面已經(jīng)做了非常多的努力。目前 Docker 在默認配置和默認行為下是足夠安全的。
Docker 自身是基于 Linux 的多種 Namespace 實現(xiàn)的,其中有一個很重要的 Namespace 叫作 User Namespace,User Namespace 主要是用來做容器內(nèi)用戶和主機的用戶隔離的。在過去容器里的 root 用戶就是主機上的 root 用戶,如果容器受到攻擊,或者容器本身含有惡意程序,在容器內(nèi)就可以直接獲取到主機 root 權(quán)限。Docker 從 1.10 版本開始,使用 User Namespace 做用戶隔離,實現(xiàn)了容器中的 root 用戶映射到主機上的非 root 用戶,從而大大減輕了容器被突破的風險。
因此,我們盡可能地使用Docker 最新版本就可以得到更好的安全保障。
(2) 保障鏡像安全
為保障鏡像安全,我們可以在私有鏡像倉庫安裝鏡像安全掃描組件,對上傳的鏡像進行檢查,通過與CVE 數(shù)據(jù)庫對比,一旦發(fā)現(xiàn)有漏洞的鏡像及時通知用戶或阻止非安全鏡像繼續(xù)構(gòu)建和分發(fā)。同時為了確保我們使用的鏡像足夠安全,在拉取鏡像時,要確保只從受信任的鏡像倉庫拉取,并且與鏡像倉庫通信一定要使用 HTTPS 協(xié)議。
(3) 加強內(nèi)核安全和管理
由于僅僅依賴內(nèi)核的隔離可能會引發(fā)安全問題,因此我們對于內(nèi)核的安全應該更加重視。可以從以下幾個方面進行加強。
宿主機及時升級內(nèi)核漏洞
宿主機內(nèi)核應該盡量安裝最新補丁,因為更新的內(nèi)核補丁往往有著更好的安全性和穩(wěn)定性。
使用Capabilities 劃分權(quán)限
Capabilities 是 Linux 內(nèi)核的概念,Linux 將系統(tǒng)權(quán)限分為了多個 Capabilities,它們都可以單獨地開啟或關閉,Capabilities 實現(xiàn)了系統(tǒng)更細粒度的訪問控制。
容器和虛擬機在權(quán)限控制上還是有一些區(qū)別的,在虛擬機內(nèi)我們可以賦予用戶所有的權(quán)限,例如設置cron 定時任務、操作內(nèi)核模塊、配置網(wǎng)絡等權(quán)限。而容器則需要針對每一項 Capabilities 更細粒度的去控制權(quán)限,例如:
cron 定時任務可以在容器內(nèi)運行,設置定時任務的權(quán)限也僅限于容器內(nèi)部;
由于容器是共享主機內(nèi)核的,因此在容器內(nèi)部一般不允許直接操作主機內(nèi)核;
容器的網(wǎng)絡管理在容器外部,這就意味著一般情況下,我們在容器內(nèi)部是不需要執(zhí)行ifconfig、route等命令的 。
由于容器可以按照需求逐項添加Capabilities 權(quán)限,因此在大多數(shù)情況下,容器并不需要主機的 root 權(quán)限,Docker 默認情況下也是不開啟額外特權(quán)的。
最后,在執(zhí)行docker run命令啟動容器時,如非特殊可控情況,–privileged 參數(shù)不允許設置為 true,其他特殊權(quán)限可以使用 --cap-add 參數(shù),根據(jù)使用場景適當添加相應的權(quán)限。
使用安全加固組件
Linux 的 SELinux、AppArmor、GRSecurity 組件都是 Docker 官方推薦的安全加固組件。下面我對這三個組件做簡單介紹。
SELinux (Secure Enhanced Linux): 是 Linux 的一個內(nèi)核安全模塊,提供了安全訪問的策略機制,通過設置 SELinux 策略可以實現(xiàn)某些進程允許訪問某些文件。
AppArmor: 類似于 SELinux,也是一個 Linux 的內(nèi)核安全模塊,普通的訪問控制僅能控制到用戶的訪問權(quán)限,而 AppArmor 可以控制到用戶程序的訪問權(quán)限。
GRSecurity: 是一個對內(nèi)核的安全擴展,可通過智能訪問控制,提供內(nèi)存破壞防御,文件系統(tǒng)增強等多種防御形式。
這三個組件可以限制一個容器對主機的內(nèi)核或其他資源的訪問控制。目前,容器報告的一些安全漏洞中,很多都是通過對內(nèi)核進行加強訪問和隔離來實現(xiàn)的。
資源限制
在生產(chǎn)環(huán)境中,建議每個容器都添加相應的資源限制。下面給出一些執(zhí)行docker run命令啟動容器時可以傳遞的資源限制參數(shù):
1??--cpus ?????????????????????????限制 CPU 配額
2??-m, --memory ???????????????????限制內(nèi)存配額
3??--pids-limit ???????????????????限制容器的 PID 個數(shù)
例如我想要啟動一個1 核 2G 的容器,并且限制在容器內(nèi)最多只能創(chuàng)建 1000 個 PID,啟動命令如下:
1 ?$ docker run -it --cpus=1 -m=2048m --pids-limit=1000 busybox sh
推薦在生產(chǎn)環(huán)境中限制CPU、內(nèi)存、PID 等資源,這樣即便應用程序有漏洞,也不會導致主機的資源完全耗盡,最大限度降低安全風險。
(4) 使用安全容器
容器有著輕便快速啟動的優(yōu)點,虛擬機有著安全隔離的優(yōu)點,有沒有一種技術(shù)可以兼顧兩者的優(yōu)點,做到既輕量又安全呢?
答案是有,那就是安全容器。安全容器是相較于普通容器的,安全容器與普通容器的主要區(qū)別在于,安全容器中的每個容器都運行在一個單獨的微型虛擬機中,擁有獨立的操作系統(tǒng)和內(nèi)核,并且有虛擬化層的安全隔離。
安全容器目前推薦的技術(shù)方案是Kata Containers,Kata Container 并不包含一個完整的操作系統(tǒng),只有一個精簡版的 Guest Kernel 運行著容器本身的應用,并且通過減少不必要的內(nèi)存,盡量共享可以共享的內(nèi)存來進一步減少內(nèi)存的開銷。另外,Kata Container 實現(xiàn)了 OCI 規(guī)范,可以直接使用 Docker 的鏡像啟動 Kata 容器,具有開銷更小、秒級啟動、安全隔離等許多優(yōu)點。
1、系統(tǒng)漏洞的修復
安裝好的系統(tǒng)都會有系統(tǒng)漏洞需要進行補丁,一些高危漏洞是需要我們及時補丁的, 否則黑客容易利用漏洞進行服務器攻擊。
2、系統(tǒng)賬號優(yōu)化
我們服務器的密碼需要使用強口令,同時有一些來賓賬戶例如guest一定要禁用掉。
3、目錄權(quán)限優(yōu)化
對于不需要執(zhí)行與寫入權(quán)限的服務器我們要進行權(quán)限修改,確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機可趁。
例如我們的windows文件夾權(quán)限,我們給的就應該盡可能的少,對于用戶配置信息文件夾,不要給予everyone權(quán)限。
4、數(shù)據(jù)庫優(yōu)化
針對數(shù)據(jù)密碼和數(shù)據(jù)庫端口訪問都要進行優(yōu)化,不要將數(shù)據(jù)庫暴露在公網(wǎng)訪問環(huán)境。
5、系統(tǒng)服務優(yōu)化
去除一些不必要的系統(tǒng)服務,可以優(yōu)化我們系統(tǒng)性能,同時優(yōu)化系統(tǒng)服務可以提升系統(tǒng)安全性。
6、注冊表優(yōu)化
注冊表優(yōu)化可以提升網(wǎng)絡并發(fā)能力,去除不必要的端口,幫助抵御snmp攻擊,優(yōu)化網(wǎng)絡,是我們優(yōu)化服務器不可缺少的環(huán)節(jié)。
7、掃描垃圾文件
垃圾文件冗余可能會造成我們的服務器卡頓,硬盤空間不足,需要我們定期進行清理。
