江苏龙网

  1. 首页 > 人文 > >

CSDN云上容器 ATT&CK 矩阵详解,阿里云助力企业容器化安全落地( 九 )


8.2 窃取凭证攻击其他应用
参考第6节的各项内容 。 在基础设施高度容器化的场景中 , 绝大部分服务都是API化的 , 这使凭证窃取成为扩展攻击面、获取目标数据的重要手段 。 K8s集群、云产品以及自建应用的通信凭证都是攻击者窃取的目标 。
8.3 通过Service Account访问K8s API
(参考2.4利用Service Account连接API Server执行指令)攻击者在容器内部可通过Service Account访问K8s API刺探当前pod用户权限 , 并在权限允许的前提下对API下发指令或利用K8s提权漏洞访问集群中的其他资源 。
8.4Cluster内网渗透
一般情况下 , K8s会默认允许Cluster内部的pod与service之间直接通信 , 这构成了一个"大内网"环境 。 攻击者在突破一个pod之后 , 可以通过内网扫描收集服务信息并通过应用漏洞、弱口令以及未授权访问等方式渗透Cluster的其他资源 。 K8s支持通过自带的网络策略(NetworkPolicy)来定义pod的通信规则 , 一些网络侧插件、容器安全产品也支持东西向的通信审计与管控 。
8.5 通过挂载目录逃逸到宿主机
(参考3.2通过挂载目录向宿主机写入文件)攻击者可以利用挂载到容器内部的目录完成从pod到node的移动 。
8.6 访问K8sDashboard
(参考7.4访问K8s Dashboard所在的Pod)攻击者在进入某个pod之后 , 可以通过信息收集或内网扫描的方式发现K8s dashboard所在service地址 , 并在管理员权限配置失当的情况下通过K8s Dashboard下发指令 。
8.7 攻击第三方K8s插件
为了快速上手 , 很多K8s快速入门指南都会介绍一些好用的插件和配置方案 , 但教程的创建者很少考虑到真实生产业务中的安全问题 , 而这些插件往往在初始的几个版本中存在鉴权方面的漏洞(如API默认允许未授权访问) , 直到被攻击者反复测试之后才会逐渐稳定可靠 。 这些不安全的配置以及使用的第三方K8s插件/工具会引入新的攻击面 , 并为横向移动提供便利 。
示例:常见的利用第三方组件进行横向移动的过程:
攻击者进入pod后 , 通过未授权访问或漏洞攻击第三方组件 , 并利用这些组件的权限操纵K8s集群 。
CSDN云上容器 ATT&CK 矩阵详解,阿里云助力企业容器化安全落地
本文插图
9. Impact/影响
9.1 破坏系统及数据
以破坏为目的的攻击者可能会停止或禁用系统上的服务、删除某些核心文件及数据以使合法用户无法使用这些服务 。 停止关键服务可能会抑制防御方对事件的响应 , 并有利于攻击者的最终目标 。
9.2 劫持资源
常见于攻击者通过自动化脚本入侵并植入挖矿程序进行获利 。
9.3 DoS
攻击者会发起DoS攻击 , 影响系统的可用性 。 容器化场景中的DoS攻击包括对业务层、K8s API层的攻击以及对Pod资源的抢占 。
9.4 加密勒索
在传统主机安全场景中 , 有经验的攻击者会找到企业核心数据并对其进行加密勒索 。 由于容器场景的资源弹性较大 , 且后端数据的产生、存储、销毁链路往往通过云服务API实现 , 而非在用户磁盘上进行 , 企业可以通过云原生的快照与备份服务来实现资产备份 , 避免核心数据丢失 。
阿里云容器安全解决方案
阿里云容器服务(ACK)提供高性能可伸缩的容器应用管理服务 , 支持企业级Kubernetes容器化应用的生命周期管理 。 阿里云容器镜像服务(ACR)是云原生时代的重要基础设施之一 , 支撑阿里巴巴经济体容器镜像托管 , 分钟级分发万节点 。 自2015年起 , 先后服务了数千家企业 , 托管了数 PB容器镜像数据 , 支撑月均镜像拉取数亿次 。
为了帮助云上客户更好的做好容器安全建设 , 阿里云重点关注容器构建、容器部署和容器运行三大生命周期阶段 , 结合容器ATT&CK矩阵 , 提供自动化的容器安全检测和响应能力;同时联合阿里云原生容器安全服务 , 共同面向客户推出云上容器安全一体化方案 , 助力企业容器化进程 。


推荐阅读


上一篇:中国科学技术大学永远科大人 | We will see you!

下一篇:小三爷说数码荣耀MagicBook Pro 2020:轻薄高效、全屏实力