AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

容器安全-如何为运行中的容器提供主动防护|学习笔记

2022-11-22 188
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 快速学习容器安全-如何为运行中的容器提供主动防护

开发者学堂课程【5分钟玩转阿里云容器服务容器安全-如何为运行中的容器提供主动防护】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/1038/detail/16057

容器安全-如何为运行中的容器提供主动防护


内容介绍

一、容器安全-如何为运行中的容器提供主动防护

一、容器安全-如何为运行中的容器提供主动防护

运营时安全的一些关键产品特性原生为应用带来了敏捷、高效、分布式和不可等架构特征。相较于传统的安全模式,我们也需要在容器应用所进行相应的原生化安全转型。

这其中应用运势安全尤为重要。容器特性给安全架构带来了新的攻击面,各种针对容器逃逸和体权的攻击意识的攻击者可以直接威胁诸级安全。同时容器应用不再具有传统基于边界的安全模型中像 IP 地址这样的静态标识符,如何基于原生中动态的标签属性和源数据管理,容器应用资产也是运营是安全的关键。

为此我们可以选择使用阿里云安全中心,提升整个集群应用运行时的安全水位与安全中心旗舰版内置了针对容器运行时的威胁检测、告警和阻断能力,可以实时检测如恶意竞价、启动病毒和恶意程序、容器内部入侵逃逸等攻击行为,并提供相应的分析和溯源能力。

image.png

知道 service count 是集群 POD 中连接 API server 一个非常常见的凭证。而很多开发人员因为开发或调试的方便,会给 service count 绑定一个比较大的权限。而这样的思维思考会给攻击者留下可乘之机,攻击者可以利用或者窃取这样的思维思考的对机器人 PS 或者发起下一步的横向攻击。

在这个 demo demo 中我们会去演示利用 POD 中的 service count 对集群的 API server 发起一些疑似的请求。然后看一下我们是否能够收到实施的一个 runtime 的一定时刻安全的告警。这里我们首先选择一个目标的测试集群。

可以看到我们已经在集群中部署了一个测试的 POD 然后我们通过命令行的方式进入到这个 POD 中。

image.png

在 var,run,secrets 这个路径下,我们可以看到这个 service count 对应的 token 信息。我们首先去Pod一个环境变量。

然后我们利用一个这样的 curl 命令,去请求API Server 获取对应的 secrets 信息,可以看到我们这次请求的身份,是这个 ServiceAccount 身份。

image.png

这里我们进入到云安全中心的页面。我们首先可以看一下这个资产中心。在这个容器的 tab 中,我们可以看到我们当前容器侧的一些关键的资产,包括集群和镜像等关键信息。在安全告警处理页,我们可以看到所有的收到的实时的一些 runtime 的告警。可以看到我们已经收到了这次关于  k8s Secrets 的一个异常访问的一个提醒。

image.png

点击详情我们可以看到这次提醒的一些详细信息,包括这次请求的路由地址、发起请求的一个 size count 身份以及审计和集群的信息。通过这样的信息就可以及时提醒我们的集群的安全管理员去做好相应的访谈工作。在这个 demo 中我们会去展示针对挖矿攻击的一个预警时刻的监控和告警。我们知道挖空攻击是近年来一个比较常见的攻击形式,而 QS 节点也是挖矿程序一个重点的攻击目标。这里我们首先选择一个测试的目标集群。我们事先准备好了一个带有恶意的这个挖矿程序的一个镜像,我这段模板去以 department 的形式去部署。好这里可以看到我们的 deployment 已经等部署,在我们的容器控制台也可以看到我们的预定时刻的一个实时的安全监控的告警。

image.png

点击这个安全监控的链接,可以在这个页面看到我们的安全告警处理的一个展示,可以看到我们已经收到了刚才这个挖矿攻击的一个实时的告警,然后这里会显示相应的包括节点集群以及 deployment 的对应的一些资产信息。

点击详情可以看到这次抨击的一个详细信息,包括我们这次这个曝光程序的路径,以及它的执行的命令行,包括一些描述以及集群容器镜像的关键信息,来提醒我们的容器管理员进行相应的这个 department 删除等止血操作。我们会去来一起看一下对异常行为的一个实时检测以及危险响应的能力。

首先首选择我们的目标集群,然后进入到我们刚刚部署的这个 POD 中去执行一条我们恶意命令。在这个命令中我们会去尝是以这个删除系统日志的这种匿名的方式去注入这个可以的 web shell 执行这条命令回到我们的安全管理的这个实时运行时刻的监控页面,看一下我们是否能够收到告警。

image.png

首先是这个匿名的系统日志删除的这个告警,在这里可以看到相应的这个命令执行的信息以及它的这个容器 ID 镜像信息等等。我说我们可以点击溯源这个 tab 来查看整个供应链的一个消息信息。在可以命令执行中也是同样的一个展示。然后这里我们可以去点击处理,去做一个趋势的威胁的响应能力。

image.png

可以点击停止容器去把这个受到攻击的这个 POD 去停止。来看一下 POD 这个容器是不是会自动被停止掉,容器已经被停掉。通过上面的这个处理,我们可以去实时地做到一个微信响应的能力。

文章标签:
Perl
容器
供应链
监控
云安全
机器人
安全
开发者
数据管理
关键词:
容器运行
容器安全
容器学习笔记
容器安全容器
容器安全容器学习笔记
带你读小助手
目录
相关文章
wljslmz
|
26天前
|
Kubernetes 监控 Cloud Native
如何保持容器在 Kubernetes 上运行,三种方法!
【10月更文挑战第20天】
wljslmz
59 3
如何保持容器在 Kubernetes 上运行,三种方法!
jianz123
|
1月前
|
安全 Docker 容器
Docker中运行容器时Operation not permitted报错问题解决
【10月更文挑战第2天】Docker中运行容器时Operation not permitted报错问题解决
jianz123
320 3
阿里云基础设施.
|
2月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
阿里云基础设施.
95 10
廖文
|
1月前
|
应用服务中间件 Shell nginx
Docker容器运行
Docker容器运行
廖文
31 0
阿里云云原生
|
2月前
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
阿里云云原生
230 1
汀丶人工智能
|
3月前
|
JSON JavaScript 开发者
Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
【8月更文挑战第7天】Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
汀丶人工智能
103 2
Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
游客j4mujezz7vm7y
|
2月前
|
Shell Docker 容器
10-19|使用date命令: 你可以在容器内使用date命令来设置时间,但为了防止这个更改影响宿主机,你不能以特权模式运行容器。我没有加特权模式的时候,使用此命令告诉我没权限啊
10-19|使用date命令: 你可以在容器内使用date命令来设置时间,但为了防止这个更改影响宿主机,你不能以特权模式运行容器。我没有加特权模式的时候,使用此命令告诉我没权限啊
游客j4mujezz7vm7y
30 0
游客mldfis24krfue
|
3月前
|
Kubernetes Shell 测试技术
在Docker中,可以在一个容器中同时运行多个应用进程吗?
在Docker中,可以在一个容器中同时运行多个应用进程吗?
游客mldfis24krfue
458 3
游客mldfis24krfue
|
3月前
|
Shell Docker 容器
在Docker中,如何停止所有正在运行的容器?
在Docker中,如何停止所有正在运行的容器?
游客mldfis24krfue
463 4
热爱技术的小郑
|
3月前
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
热爱技术的小郑
37 0
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Minikube - Kubernetes本地实验环境
  • 4
    Docker的Windows容器初体验
  • 5
    Docker学习路线图 (持续更新中)
  • 6
    使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
  • 7
    在阿里云容器服务上开发基于Docker的Spring Cloud微服务应用
  • 8
    Docker Engine 镜像源站
  • 9
    如何解决Docker容器和宿主机时间同步问题
  • 10
    在阿里云容器服务上创建一个spring boot应用
  • 1
    【Docker最新版教程】一文带你快速入门Docker常见用法,实现容器编排和自动化部署上线项目
    37
  • 2
    【最新版正确姿势】Docker安装教程(简单几步即可完成)
    215
  • 3
    ​​国内 5 个最佳的控制面板,可轻松管理服务器
    49
  • 4
    【赵渝强老师】K8s的有状态控制器StatefulSet
    28
  • 5
    【赵渝强老师】K8s中Deployment控制器与StatefulSet控制器的区别
    30
  • 6
    【赵渝强老师】K8s的Job控制器多工作队列的并行方式
    20
  • 7
    【赵渝强老师】K8s的周期性任务控制器CronJob
    22
  • 8
    【赵渝强老师】K8s中Job控制器单工作队列的串行方式
    24
  • 9
    【赵渝强老师】K8s中的Deployment控制器
    20
  • 10
    【赵渝强老师】K8s的DaemonSet控制器
    25

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
  • 《容器网络文件系统CNFS》

    • 相关实验场景

    更多
  • 使用资源编排为云资源批量绑定标签
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
  • 容器的网络入门
  • 容器的自定义网络
  • 容器的共享网络模型
  • 容器的启动和操作
    • 下一篇
    阿里云OSS设置跨域访问