安全验证 | 容器安全的验证度量实践

摘要

容器安全作为云原生安全的重要组成部分，为用户业务的云原生落地提供了重要的安全保障。但是由于云原生架构和云原生应用的复杂性，以及不同厂商的容器安全产品在能力上的参差不齐，相应的安全防御能力是否达到了实际的防护效果，这是在运营中面临的重要挑战。

本文将结合腾讯云在容器安全的运营实践，分析介绍如何通过安全验证度量，从攻击者视角持续发现防御的弱点，提升防御水平，实现云原生架构下的高质量安全运营。

为什么对容器安全进行安全验证

业务全面拥抱云原生，安全责任重大

近年来，云原生架构的采纳率大幅攀升，据中国信通院在2023年底发布的针对国内用户的研究报告显示，90%以上的用户已经使用或者计划使用容器技术，50.71%的用户已经将容器技术应用于核心生产环境，27.5%的用户已将容器技术用于次核心生产环境。

以腾讯为例，早在2022年6月就已经实现了内部海量自研业务的全面上云，包括微信、王者荣耀、腾讯会议等，达到了数千万核的上云规模，建设并维护着国内最大规模的Kubernetes集群，打造了国内最大规模的云原生实践。

而作为腾讯云安全的运营方，面对容器化基础设施覆盖度极高，承载业务量极大，如此大规模容器集群安全性的防御，其重要性极高，一旦发生安全事件，将影响巨大。因此务必要确保事前、事中、事后各项安全措施全面、有效的发挥作用。

容器安全的运营难度高、挑战大

安全运营本身就是一个系统且复杂的问题，而容器安全的运营给运营者更是带来了新的挑战。

因此，在做容器安全的运营时，最常见的一个问题就是，安全产品会检出成千上万个安全风险，那这些风险全部都需要修复吗？如果资产规模较小还有可能，但是像腾讯这种，面对数千万核的集群、千万量级的容器镜像，如果把安全产品检出的所有风险全部逐一修复，那几乎是不现实的。

实际情况就是只能修一部分，那修的这些风险够不够，没有修的是不是就一定不会被利用，如果被利用了，安全能力能不能防御住。这些都是在安全运营过程中遇到的难以确定的问题。

以1月底的runc CVE-2024-21626漏洞为例，从官方纰漏的信息来看该漏洞几乎影响了runc所有的发行版本，而runc作为容器环境的基础组件，几乎所有的集群节点均受影响，影响范围非常的广。但是这种基础组件对于存量集群来说，升级起来难度较大。

根据对该漏洞的研判发现，漏洞的利用需要一定的前提条件，比如对内核版本有一定要求、对业务镜像有一定要求。在这种情况下完成了应急修复后，怎么来评价我们的系统是否还存在风险，这时就需要进行安全验证，我们第一时间上线了针对该漏洞的安全验证，高效的辅助运营完成了漏洞的应急处置。像这种例子，在容器安全的运营中，非常常见，单runc组件近年来就纰漏多个高危以上的漏洞。

安全厂商能力参差不齐，产品边界不清晰

云原生架构的落地规模持续增长，叠加带来的安全需求也在不断增长，因此，对应的容器安全以及云原生安全产品也快速的涌现。

容器安全在最近的五六年发展时间里，几乎所有的传统综合性安全厂商、云厂商、创业公司纷纷推出了自己的容器安全产品，或者是云原生安全产品。Gartner、IDC、安全牛、数世咨询等国内外咨询机构报告的厂商就有十多家，实际上可选的产品将有几十种。除了专有的容器安全产品，传统的主机安全产品、云安全产品、甚至云厂商会在一定程度上实现云的内生安全。

尽管经过了几年的发展，但是容器安全还是一个相对较新的赛道，各家厂商对容器安全的认知、定义不可避免的存在差异，因此产品边界、能力边界，能力水平相差也较大。

对于甲方用户来说，如何在各种琳琅满目的产品中进行选择，实现相对完善的防御体系建设，是一件困难的事。用户不可避免会产生能力是否够用、是否有用的顾虑。

综合上述几点内容，我们结合腾讯自身的安全运营痛点，建设并实践了基于攻击模拟技术（BAS）的安全验证平台，尤其是针对容器环境进行安全有效性的验证度量，从攻击者视角，模拟真实的攻击，确保整个容器环境的安全可靠。

容器安全度量体系

要想对容器安全的防御体系进行验证度量，那么首先要做的就是要制定全面和合理的验证度量指标，确保验证度量的完整性与合理性。在度量指标的设计上，主要参考以下几个维度的内容进行设计：（1）ATT&CK攻防矩阵框架；（2）腾讯蓝军实践经验以及安全研究成果；（3）腾讯容器安全相关产品能力；（4）腾讯容器安全运营实践；（5）标准、技术要求等行业规范。

攻击者视角下的指标设计

首先就是从攻击者视角下，确定容器安全的度量指标，要尽可能的覆盖到所有可能被使用的攻击手段。云鼎实验室在2021年发布了“云安全攻防矩阵”（https://cloudsec.tencent.com/home/），到现在已经迭代更新到了3.0版本，矩阵覆盖了从初始访问到攻击影响的全部9个阶段，其中明确指出了针对容器环境的攻击技术战术内容，几乎覆盖了所有容器环境下的攻击手段。

针对容器安全的度量指标，覆盖了矩阵中所有的容器安全相关的技战术内容，可以从各个攻击阶段的维度，对容器安全进行验证度量。

除此之外，从攻击视角看，还会结合腾讯蓝军在历次的内外部红蓝演练中，面向容器环境沉淀的攻击手法与技巧。这些实践经验，一方面会对矩阵的技战法做有效的补充，同时可以从实践的维度，对各个指标从可利用难易度的角度，进行更真实的风险等级划分，使得验证指标有着更好的完整度和可运营、可执行性。

防守者视角下的指标设计

除了从攻击视角外，另一方面就是从防守者视角，围绕各项容器安全相关的产品能力，进行度量指标的设计，从而确保相关能力全部发挥了作用。

（1）腾讯在内部的容器安全能力建设上，自研了容器安全产品能力，对于容器安全相关的能力要求以及原理、安全规则等，有着深入的理解和认知，这些都会作为度量指标的设计参考，以及验证剧本的指导性输入。有了产品能力的基础，在一定程度上，验证指标和验证剧本的设计就是类似白盒测试一样，更具有针对性。

（2）数千万核规模的容器集群安全运营经验，同样是我们度量指标设计的一个重要参考。在运营过程中，我们逐步积累了各种风险出现的频率、积累了各种安全事件的攻击手法。高频率的风险、高频率的事件、全新的攻击手法，这些真实的运营数据，对于指标设计以及指标权重、风险等级等属性设计，都有着重要的意义和价值。

合规视角的指标设计

除了上述攻防两个角度的设计参考之外，针对容器安全的验证指标设计还参考了等保、行业标准、各种国内外研究机构的规范要求等合规视角的能力要求。

以等保为例，2023年7月1日，《网络安全等级保护容器安全要求》正式实施，标准对容器管理平台、计算节点、镜像仓库、容器实例、容器镜像等均提出了明确的安全防护要求。

除了等保的标准之外，还包括信通院牵头发布的“云原生安全成熟度标准”、CSA大中华区牵头发布的“云原生安全技术规范”等国内的标准规范，以及OWASP、CNCF等国际组织发布的安全要求。值得一提的是，这些国内的标准规范腾讯都是深度的参与编写单位，对于规范的内容要求有着深刻的认知和理解。

结合上述三个维度的内容输入，我们设计了针对容器安全的验证指标体系。其中包括了集群安全、运行时安全、网络安全与镜像安全四个一级验证指标项，容器逃逸检测、挖矿木马检测等40余个二级指标项。验证场景涵盖了IPDRR全生命周期的安全能力，指标示例如下图所示。

验证指标示例

容器安全验证实践

云原生安全测试平台

2022年6月召开的云原生产业大会上，由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。会上，中国信通院还联合腾讯安全云鼎实验室发布了“云原生安全测试平台”。

该平台是国内首个云原生安全的测试验证平台，由腾讯安全云鼎实验室承担总体架构设计，联合云原生安全实验室的多家单位和企业共同研发，由中国信通院运营，匹配落地云原生安全多项标准，对国内云原生产业生态提供开放性的安全测试基准，将在很大程度上推动云原生环境安全性的判断、云原生相关安全能力的确认、以及云原生安全建设的有效性，解决云原生用户的选型困境及在云原生安全产品上遇到的燃眉之急。

腾讯安全验证服务

除了社区和产业的合作之外，结合前文介绍的各项验证指标体系设计，在腾讯安全验证服务中，发布了针对容器环境的安全验证度量方案。实现了每个指标下的所有可以使用的攻击手法，形成了验证剧本。用户可以选择具体的验证剧本，对容器安全针对特定攻击的防御能力进行验证。

以容器逃逸的验证为例，容器逃逸场景是容器业务面临最多的攻击之一，因此，对容器逃逸攻击的防御能力验证是许多业务方的核心关注点。这里我们对如何实现容器逃逸场景的验证度量进行说明。

常见的导致容器逃逸的原因可以简单的划分为两类：

● 配置不当导致的容器逃逸：不当的Capabilities权限分配、敏感目录的不安全挂载、以及docker.sock的错误挂载等；

● 漏洞相关的容器逃逸：涵盖了内核漏洞（如著名的“脏牛”漏洞）和容器软件漏洞（例如runc漏洞）等;

针对每一种可以实现逃逸的攻击方法，我们编写了相应的攻击剧本，这些剧本详细定义了在特定类型的节点上执行的逃逸操作。

然后就是验证针对容器逃逸的检测能力，这里既可以选择特定的剧本（特定的逃逸手段）进行验证，也可以根据产品内置的容器逃逸验证场景，对所有的可以造成容器逃逸的攻击手段进行验证。

选择好验证场景和剧本后，就是对验证任务进行设计和编排，这个例子中只需要选择期望执行验证的攻击代理即可。

这样，一个针对容器逃逸防御能力的验证就完成了。为了实现持续的防御能力验证，我们可以将上述验证任务配置成周期执行。

总结

基于容器技术的云原生架构，越来越多的在企业进行落地，容器的安全保障越来越得到了重视。在容器安全建设的基础上，需要进行安全防御的验证度量，确保安全体系持续有效。

容器技术以及云原生相关的技术仍在不断的发展和演进，暴露出来的安全风险和攻击手段也在不断增多，安全验证度量的指标体系以及场景剧本的内容，也需要不断的进行迭代完善，确保业务安全的进行云原生升级。

关于安全验证服务（BAS）

腾讯安全验证服务（BAS）提供自动化的安全防御有效性验证，是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系，发现防御弱点，优化策略配置，规划安全投入，提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容，可点击链接了解详情：https://cloud.tencent.com/product/bas。

END

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

关注云鼎实验室，获取更多安全情报