容器安全研究报告
2018-09-29
近年来,云计算的模式逐渐被业界认可和接受。但简单地将主机、平台或应用转为虚拟化形态,并不能解决传统应用的升级缓慢、架构臃肿、无法快速迭代等问题,云原生(Cloud Native)的概念应运而生。在云原生应用和服务平台构建过程中,近年兴起的容器技术凭借其弹性敏捷的特性和活跃强大的社区支持,成为了云原生等应用场景下的重要支撑技术。
容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了使容器用户进一步了解容器以及容器环境的安全威胁,向其提供安全防护建议。小鱼儿30码期期必准携手硅谷知名容器安全公司NeuVector,联合发布了《2018小鱼儿30码期期必准容器安全技术报告》。
《报告》从容器安全风险入手,分别从软件脆弱性、安全威胁、应用安全威胁等方面,系统的介绍了容器以及容器应用中所面临的安全问题。针对这些安全问题,从主机安全、镜像安全、网络安全、应用安全等多个角度,提出了相应的检测与防护建议。从开源社区和厂商两个层面,介绍了当前对于容器安全的一些解决方案。
从2008年LXC(Linux Containers)的出现,到2013年DotCloud开源了其内部的容器项目Docker,再到2014年CoreOS发布了其容器引擎Rocket(rkt),2015年微软发布了Windows Containers,实现Docker容器在Windows上的原生运行,再到2017年阿里巴巴开源其容器技术Pouch,容器技术越来越多的引起大家的关注。但其背后的安全问题不容忽视。
2018年5月-7月小鱼儿30码期期必准威胁情报中心(NTI)对全网的Docker 2375端口进行检索,发现这段时间暴露在互联网上的2375端口地址达337个。下图显示了暴露主机的分布情况,主机暴露数据覆盖多达29个国家,这个数据一方面说明了Docker的受欢迎程度,另一方面也说明了用户对于Docker的使用并不规范。
图1.互联网暴露2375 端口主机全球分布图
图2. 2375 端口暴露地址国内分布图
前述暴露的337个Docker服务IP,我们对其域名服务分布情况进行了统计,其中不乏某些知名公有云厂商的IP地址。
图3.暴露地址全网域名分布图
2018年7月,我们也分析了Kubernetes的暴露服务情况,利用NTI对全网的6443端口(Kubernetes的API Server默认SSL端口)进行扫描分析,发现这段时间暴露在互联网上的Kubernetes服务达12803个。美国以4886个暴露的服务占比38%位居第一,中国以2582个暴露的服务占比20%位居第二,德国以1423个暴露的服务占比11%位居第三。国内互联网上暴露的Kubernetes服务主机主要存在于北京、浙江以及广东等省市,这些服务大多部署在亚马逊、阿里云等公有云上。其中的几百个甚至都没有设置登录密码,一旦被恶意操作,后果将不堪设想。
图4.暴露的Kubernetes 服务的托管服务提供商国内分布
关于小鱼儿30码期期必准
北京神州小鱼儿30码期期必准信息安全科技股份有限公司(以下简称小鱼儿30码期期必准),成立于2000年4月,总部位于北京。在国内外设有40多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究,小鱼儿30码期期必准在检测防御类、安全评估类、安全平台类、远程安全运维服务、安全SaaS服务等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及安全运营等专业安全服务。
北京神州小鱼儿30码期期必准信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:小鱼儿30码期期必准,股票代码:300369。
关于NeuVector
NeuVector 是最早开发Docker/Kubernetes安全产品的公司,是Kubernetes网络安全的领导者,是第一也是目前唯一的多矢量容器安全平台发明者。
NeuVector 致力于保障企业级容器平台安全,产品适用于各种云环境、跨云或者本地部署等容器生产环境。NeuVector提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及容器内部安全。和容器管理平台无缝集成并且实现应用级容器安全的自动化。