1、LF 开源教育及人才培养高峰会专场叶剑宏 2021年08月01日本期议题：容器应用的一体化全流程安全防护实践云原生人才培养计划 2.0 发布！强强联手，打造最懂开发者的云原生人才课程Linux 基金会开源软件学园、阿里云、马哥教育联合出品，从理论基础，到开源实践，再到企业真实落地，各路专家打造最懂开发者需要的云原生人才课程体系由浅入深，引导最适合开发者的云原生学习路径遵循云原生人才学习路径及人才发展不同阶段搭建课程体系框架，由浅入深，第一期将帮助云原生人才学习 Kubernetes 完整技术栈内容一课双证，打通云原生人才专业技能认证快速通道贯穿理论、实践、体验，为广大云原生领域人才完成 CKA

2、、CKAD、ACA、ACP 等专业认证提供积累专业技能的基础环境，以及相关资格考试优惠福利容器对IT基础设施的影响容器环境下IT架构的变化基础架构物理机架构云化架构IT架构物理服务器操作系统应用程序物理服务器虚拟化虚拟化操作系统操作系统应用程序应用程序物理服务器虚拟化操作系统操作系统容器容器应用程序应用程序OpsOps/SecDev/SecDev/SecOps/Sec云平台云平台云平台云平台云平台Dev/Ops/Sec容器化架构企业面临的容器安全风险The State of Container and Kubernetes Security2020 Winter StackRox 配置安全镜像

3、安全运行安全主要风险威胁举例黑客上传恶意镜像存在安全漏洞的系统和软件中间人攻击篡改镜像Docker.sock暴露到公网容器挂载宿主机敏感目录K8s API Server未授权访问特权漏洞导致的权限提升漏洞恶意特权容器的启动云原生容器对开发者、运维、安全的挑战云原生安全挑战更多的攻击面快速变化的资产应用全生命周期的安全防护安全适应动态变化开发周期缩短，应用发布频率变快开发运维安全端到端的云原生容器安全架构纵深防御构建从供应链到运行时的一体化安全流程最小化攻击面安全稳定的容器基础设施平台 云原生应用生命周期安全能力Pre-Deployment:Pre-Deployment:开发开发 测试测试 构建

4、构建 部署部署RuntimeRuntime 运行时刻运行时刻运行时监控和告警运行时监控和告警应用镜像加签RBAC沙箱容器沙箱容器配置巡检配置巡检验签策略证明者机密计算机密计算开发测试OPAPSP策略管理AuthenticationAuthorizationAdmission Control运行时刻纵深防御镜像扫描KMS一致性安全策略加固安全管理员安全运维事件观测，溯源事件，审计容器资产识别与关联镜像监控容器集群弹性监控宿主主机监控识别与关联ECSECSECSECSECSECSECSECSECSECSECSACKACKNodemastermasterPodPodPodPodPodNodeNode

5、NodeNodeNodeNodeNodeNodeNodeNodePodPodPodPodPodPodPodPodPodPodACRAPPAPPAPP镜像安全APPBASEAPPCI/CD云安全中心镜像安全扫描APP安全证书ACRACR EE可信镜像PodPodPod验签运行时安全masterNode PoolController ManagerETCDAPI ServerSchedulerNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContain

6、erOSHardwareNode网络连接监控命令行监控进程监控系统监控内核监控日志监控用户容器运行时防护路径初始入侵下发指令持久控制权限提升躲避防御窃取凭证探测信息横向攻击达成目标云账号AK泄露通过kubectl进入容器部署远控容器利用特权容器逃逸容器及宿主机日志清理K8s Secret泄露访问K8s API Server窃取凭证攻击云服务破坏系统及数据使用恶意镜像创建后门容器通过挂载目录向宿主机写文件K8s Rolebinding添加用户权限K8s Audit日志清理云产品AK泄露访问Kublet API窃取凭证攻击其他应用劫持资源K8s API Server未授权访问通过K8s控制器部署后

7、门容器K8s cronjob持久化利用挂载目录逃逸利用系统Pod伪装K8s Service Account凭证泄露Cluster内网扫描通过Service Account访问K8s APIDDoSK8s configfile泄露利用Service Account连接API Server执行指令在私有镜像库的镜像中植入后门通过Linux内核漏洞逃逸通过代理或匿名网络访问K8s API Server应用层API凭证泄露访问K8s Dashboard所在PodCluster内网渗透加密勒索docker daemon公网暴露带有SSH服务的容器通过Docker漏洞逃逸清理安全产品Agent访问私有镜像

8、库通过挂载目录逃逸到宿主机容器内应用漏洞入侵通过云厂商CloudShell下发指令利用K8s漏洞进行提权访问云厂商服务接口访问K8s DashboardMaster节点SSH登录凭证泄露容器内访问docker.sock逃逸通过NodePort访问Service攻击第三方K8s插件私有镜像库暴露利用Linux Capabilities逃逸攻击者开发运维攻击者容器网络安全防护InternetNetworkingContainerContainerOSContainerNodeNetworkingContainerContainerContainerContainerNode容器proxy南北向防护

9、东西向防护云安全中心东西向防护WAFDDOS防护基于大数据的自动拓扑智能算法策略推荐Ingress云防火墙VPC一致性安全策略管理基于容器安全最佳实践，一键化免费检查集群应用配置安全：健康检查配置校验 资源限制配置校验 网络安全参数校验 镜像拉取安全校验 安全参数配置校验CIS Kubernetes Benchmark for ACKSecurity Inspection Reporthttps:/www.cisecurity.org/benchmark/kubernetes/CIS Kubernetes Benchmark for ACK打造一体化云原生安全从研发开始 统一DEVSECOPS保护全生命周期建立可信容器体系ACR EE DevSecOps 端到端安全企业用户ACR EEKMS容器镜像不可变不可变 TagTag 防覆盖防覆盖镜像签名镜像签名构建容器服务私钥公钥镜像验签镜像部署自定义策略，风险阻断自定义策略，风险阻断安全扫描云原生应用交付链，支持多安全扫描引擎、镜像加签配置，全链路可观测、可追踪、可自定义安全策略。将 DevOps 全面升级 DevSecOps，保障制品更加安全、高效交付上线。镜像扫描镜像加签镜像验签THANKS