腾讯云原生安全运营实践千万核规模容器集群的安全治理经验分享主讲人：江国龙 腾讯安全云鼎实验室高级研究员攻防对抗下，云原生安全威胁日益严峻，安全防护面临重大挑战50.8w.2Q.3%2.6%0 0Pp%经历过容器安全事件提前规避业务风险等保合规需求其它根据腾讯云容器安全白皮书显示，安全问题成为影响用户落地云原生的重要考量因素，甚至有50.8%的用户表示遭受过容器攻击白皮书下载地址：https:/580,000 660,000 134,000 270,000 901 可疑容器逃逸文件篡改异常进程反弹shell高危系统调用容器内木马检出2021年，腾讯云容器安全服务监测到可疑容器逃逸行为84万次，文件篡改行为58万次 2020年，蓝军利用k8s集群未鉴权管理端口未鉴权管理端口，创建特权容器，逃逸到母机；2021年，蓝军利用内网SCF创建代理，窃取窃取k k8 8s s集群管理凭据集群管理凭据，登录业务容器；2021年，某云原生业务未对其容器进行安全策略配置安全策略配置，多次被蓝军通过挂载主机根目录实现逃逸；2022，某云原生业务因网络隔离配置网络隔离配置不当，外部用户可通过用户云上容器节点，连接公司内网；.千万核心规模，业务逻辑错综复杂，安全运营面临重大挑战 我的集群里有多少个Pod拥有高权限、我的应用应该被赋予哪些权限？如果发生了提权操作，我怎么知道是哪个Pod，我该怎么操作？我发现有Pod在访问API Server执行操作，是被入侵了吗？微服务之间的各种访问通信，都是正常的业务操作吗？镜像扫出来一堆漏洞，我该怎么处理？安全产品告警了，我该怎么进行处置、怎么溯源分析？腾讯云原生产品矩阵 腾讯云原生产品体系和架构已非常完善，覆盖几乎所有云原生产品和服务；腾讯海量自研业务已全面上云，规模突破5000万核，打造了国内最大规模的云原生实践4%3%3%8%7%8%0%2%4%6%8 %2周=2周=1周=1天=6小时=1小时=30分=10分=5分=1分=10秒44%=5分钟分钟69%=1小时腾讯云超大规模容器平台的安全体系架构设计原则四大设计原则原生的基础设施安全安全能力云原生化安全能力原生化更早的投入安全资源和能力更有效的收敛安全漏洞问题更早的确定其安全性安全左移从开发到部署到运营全面融入DevOps体系实现DevSecOps安全防护全生命周期全面有效的身份权限管理持续的检测与响应零信任安全架构腾讯云原生服务安全体系框架基础安全公有云私有云专有云混合云可观测系统日志性能监控调用链路追踪安全管理策略管理安全内核主机安全WAFDevSecOpsDevOps集成代码审计密钥管理持续监测和响应安全审计漏洞管理拓扑关系追踪进程行为追踪调用请求追踪软件供应链安全数据安全镜像扫描黄金镜像态势监控镜像签名镜像仓库安全通信API安全应用隔离异常行为检测API网关应用安全容器与编排安全运行时安全零信任网络安全入侵检测网络隔离访问控制入侵检测异常行为检测准入控制异常行为检测异常处置配置加固身份管理权限管理漏洞修复持续检测资源隔离与限制基础架构安全代码分析代码加固依赖加固抗D构建全生命周期的云原生安全运营框架IDENTIFYp 集群资产识别：包括cluster/node/namespace/pod/container等；p 自建容器识别：docker run等方式运行的孤立容器识别p 业务风险识别：对应用程序进行风险级别划分识别防护检测响应PROTECTp 系统加固：包括配置检测与修复、漏洞检测与修复、镜像评估与修复p 安全防护：包括准入控制策略的配置、运行时的拦截策略配置、防 火 墙 策 略 配 置、WAF策略配置、防护策略管理等DETECTp 系统维度的威胁检测：包括容器内的进程异常检测、文件异常检测等p 网络维度的威胁检测：包括东西向流量的异常检测、网络入侵检测等p 应用维度的威胁检测：包括API调用异常检测、API攻击检测等RESPONDp 处置：包括网络隔离、暂停容器、终止进程等措施p 溯源：包括告警分析、确定攻击路径、确定入侵原因等修复RECOVERp 风险修复：根据入侵原因，对相关风险进行修复p 策略修复：包括从防护、检测等步骤更新安全策略实现运营反馈实现全面的云原生安全可观测性构 建部 署运 行容 器 守 护 进 程操 作 系 统微 服 务集群Yaml代码配置文件提交代码管理构建服务构建镜像容器镜像编排组件编排yaml推送镜像镜像仓库拉取镜像运行触发调用编排组件API创建服务yaml部署容器运行时安全风险共享操作系统内核，提升了逃逸风险概率及影响范围；容器生命周期缩短至分钟级，显著提升了应用管理难度，表现在：容器危险配置导致逃逸攻击；容器危险挂载导致逃逸攻击；相关程序漏洞导致逃逸攻击；宿主机内核漏洞导致逃逸攻击；安全容器逃逸风险。编排及组件安全风险编排组件自身漏洞及管理缺陷，增加容器安全风险，表现在：编排工具自身漏洞；编排组件不安全配置；不同安全级容器混合部署；编排组件资源使用不设限；编排节点访问控制策略配置不当。镜像及镜像仓库安全风险镜像及镜像仓库模式，增加了软件供应链的监管风险，表现在：镜像含软件漏洞；镜像配置缺陷；镜像来源不可信；镜像仓库自身漏洞及管理问题；镜像获取通道不安全。云原生网络安全风险增加了东西向流量互访，避开了传统南北向网络防护，表现在：访问控制粒度过粗；网络分离管控不合理。告警可以告诉我们系统的哪些部分是不安全的可观测性可以告诉我们那里为什么是不安全的持续的安全治理和运营治理和运营安全风险可观测安全威胁可观测通过基础镜像收敛镜像安全风险，实现安全左移镜像A镜像A0镜像A00镜像A1镜像A10镜像A01镜像B镜像B0镜像B00镜像B1镜像B11镜像B10仓库镜像的构成示意p 从镜像仓库的角度看，所有的镜像根据依赖关系，将会组成一个森林的结构 基础镜像是一个相对的概念 镜像间的依赖关系，产生了基础镜像 基础镜像覆盖范围大、影响范围广p 基础镜像是安全风险的重要来源容器镜像供应链影响分布p基础镜像有效收敛镜像安全问题 47w个镜像，依赖2.6w个基础镜像，其中：50%的镜像（24w），依赖13个基础镜像 90%的镜像（43w），依赖637个基础镜像通过基础镜像收敛镜像安全风险，实现安全左移p 基础镜像安全要求修复已知漏洞仅安装必要的软件确保安装软件的配置安全不配置默认root用户启动镜像，仅配置所需的最小权限用户p 应用镜像安全要求使用确定版本的基础镜像基础镜像因安全原因升级后，应用镜像需同步升级base_image:v1base_image:v1app1:v1base_image:v1app1:v1app2:v1base_image:v2base_image:v1app1:v2base_image:v1app1:v2app2:v2base_image:v1app1:v2base_image:v1app1:v2app2:v3base_image:v2app1:v3app2:v4base_image:v2app1:v3base_image:v1base_image:v1基础镜像应用1镜像应用2镜像时间轴通过镜像扫描实现镜像的全面威胁检测n 全球领先漏洞库和病毒库，检出率、误报率业界领先（腾讯云镜像系统漏洞检出率高达99.7%，误报率低于1.4%）；n 重点关注漏洞由腾讯安全专家团队运营，用户可优先修复由腾讯安全专家筛选出的重点关注漏洞n 详细漏洞详情信息、专业修复建议、扫描结果一键导出n 在镜像构建阶段和镜像入仓阶段通过TCSS对容器镜像进行全面的安全风险扫描，镜像扫描基于腾讯全球领先的漏洞库和病毒库快速检测发现本地镜像和仓库内镜像漏洞、木马病毒及敏感信息持续进行镜像安全扫描和漏洞管理，修复镜像安全风险重大漏洞爆发下以镜像为安全运营主要抓手最早漏洞情报预警最全漏洞修复方案同步开源容器环境一键缓解工具输出场景运营方案（组件-镜像-容器）入侵发现及应急响应05101520253016日17日18日19日20日21日22日攻击次数Log4j2漏洞利用攻击趋势集群安全：构建安全的应用运行底座p 对runC、Kubelet、API Server、Docker等集群基础设施组件开展例行安全巡检，关注严重高危组件漏洞并及时推修，新增漏洞及时同步检测，当当前已收录前已收录k8s相关组件漏洞相关组件漏洞100 ，覆盖覆盖2.4万节点万节点。p 通过安全准入策略，控制集群内pod启动的安全要求，对研发环境和生产环境做好网络隔离，生产环境严格登陆管控，非管理员只允许通过编排启动pod。Production允许特权启动允许HostpathTest限制特权启动限制Hostpath集群Pod权限风险管控集群Pod风险项识别集群组件漏洞识别集群风险检查架构API Server集群安全Daemonset业务Pod集群节点集群安全服务持续进行集群组件的漏洞、配置检测，集群workload的配置检测，构建集群的安全准入控制运行时安全：深度的容器内入侵检测和防护深度持续监测容器内的入侵事件，实时上报被攻击容器，自动拦截失陷容器p自适应识别攻击，实时监控和防护容器运行时安全。包含包含6 6大大类容器逃逸引擎类容器逃逸引擎；p腾讯云安全技术及多维度多种手段，对容器内的反弹行为等进行监控，同时对容器中发生的可疑命令进行审计，如 wget、curl、apt-get等，有效发现入侵痕迹；p自研Webshell检测引擎，检出率99.25% （赛可达评测）；p自研TAV引擎，高效查杀二进制木马病毒，多次获得国际权威机构VB100、AVC等机构评测第一梯队；p云查杀多杀软鉴定器，例如：小红伞引擎、卡巴、Nod32等10多款传统杀软；p腾讯云全网百亿级样本，覆盖海量病毒、木马、僵尸网络等恶意代码样本入侵检测Detect Respond Enforce流程guest applibs/dependsguest applibs/dependsguest applibs/dependsLXDLXCDockerOSInfrastructure进程创建网络连接DNS请求文件释放高危syscal调用安全探针(Probe)服务爆破感知Webshel检测反弹shel检测提权检测隐蔽隧道检测东西向渗透感知入侵检测清理进程.清理文件补丁修复事件控制信息收集风险评估调查取证事件调查专家知识事件规则引擎木马检测引擎主机事件库云端病毒库威胁情报安全事件告警安全工程师响应生成安全事件ContainerQ&ATHANKS谢谢观看