开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :Twistlock 在阿里云 ACK 上安装(一)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/628/detail/9879
Twistlock 在阿里云 ACK 上安装(一)
目录:
一、Defender 架构
二、控制层面的流量转发到 Defender 处理
三、RASP Defender 架构
四、TWISTLOCK 安全功能
五、下载解压安装文件
六、查看 PV 状态
七、代码演示
一、Defender 架构
Twistlock Defender 本身作为容器运行
Defender 能够实时获取 runtime 数据,提供给 Console 实现进程、网络、文件系统以及系统调用的分析
Defeander 作为用户模式进程运行,而不是 kernalmodke (-privilege 模式)
Defender 仅仅使用现有的 Host OS 的特定的内核功能
- NET ADMIN
- SYys_ ADMIN
- SYys_ PTRACE
AUJDIT CONTROL
//Defender 构架构本身是做一个容器来运行的。
这个容器,它是作为用户模式进行运行,而不是其他的一些方案,可能需要用到privilege 的这种 kernel。这种要的权限就可能太大。所以,其实只需要以下四个- NET ADMIN、- SYys_ ADMIN、- SYys_ PTRACE、- AUJDIT CONTROL,OS这种,kernel 层别的这些功能就可以进行。
大的方面,一个是对进程的管理,一个对网络,还有是文件系统以及系统调用的这样一个分析,以及做了一些相应的策略。那也就是后面会详细讲的,建立了一个4D的这样一个容器的一个模型。
在真实环境里面,如果通过 docker 的这种环境。通过会在这个 content -Shim,Around,runc 之间会加一个叫 Twistock Shim 的这两个垫片。
那所有的这些策略,会进行过经过 Twistock Shim 来判断,是不是可允许用 runc 来调用或者说是执行,这样一个容器。在 kubelet 的集群里面的,会有一个 Twistock Shim 的这样一个垫片,来做这样一个策略。
Twistock 的这个垫片,也就是 defender 的,会通过 IP 或者说是网络和 Console 进行实时来一份通信,来下载到最新的策略,然后来做这些阻断也好,在对这些 runc 进行控制。
二、控制层面的流量转发到 Defender 处理
e.g. docker run nginx
经过 Defender 规则匹配并允许的命令才能够被正确发送到 Docker 引擎,创建 nginx
Defender 通过 host 的 system kernal 权限实现控制和保护通过 host system kernel 接口获取消息通知通过 host system kernel 和接口 Docker API 接口实现控制和保护
//Defender 它还支持,比如说 docker run nginx,会对这个 docker 的这些命令,也会经过这个 defender 来做这样一个访问控制。通过 Defender,来进行对 docker 引擎的操作。所有这些,都可以对通过这个 defender 来进行管控。
三、RASP Defender 架构
RASP ( Runtime application self-protection )运行时应用自我保护。Gartner 在2014年应用安全报告里将 RASP 列为应用安全领域的关键趋势。
RSAP 将 Defender 注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击。使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。
RASP 能够对应用进行基础安全防护,由于一些攻击造成的应用程序调用栈具有相似性,还能够对0day进行一定的防护。
Twistlock 的 RASP Defender,可以打包进 Dockerfile,或者通过将 Defender 手动嵌入 Dockerfile. 比如阿里云的 ECI ( ElasticContainer Instance )
//另外一个,部署模式,出任后续的模式,Work note 上面去运行一个 defender 这种方式也好,还有一种模式,叫RASP 。
RASP 在2014的这个安全报告里面,将它作为一个安全领域的一个趋势,它所做的,是主要是针对比如说像阿里云的ECI 的这种 Elastic container instance 这种服务,完全没有一个 Work note 的这样一个概念,你没有办法在那个note 上面去进行一些,运行一些特定的,像defender这种容器。
那必须得改变一种方式,比如说是通过 RASP 的这种 defender 的部署的方式,它可以去打包进我们Dockerfile,可以手动做,也可以通过Twistlockcouncil,可以很方便的把这个 ICPdefender 给打包进 dockerfile,也就是说这个defender,会跟着镜像走,所有镜像跑在任何的云的这样一个公有云的环境里面,会作为一个类似这种模式。所有的这种网络也好,进程的这种方式调用,都会通过这个 Grass 的这个 container,这个类似一个模式进行管控。
同时,也可以在这个 CI/CD 的这个流水线里面,可以把这这一步能够嵌入到整个流水线当中,所以也是一个非常简单的一种部署模式。
四、TWISTLOCK 安全功能
自动化
漏洞管理和防护
运行时保护
可视化
图合规性检查
访问控制
威胁防御
云原生防火墙
CI/CD 集成
TWISTLOCK 致力于在以下三个方面去解决这个容器环境的这样一个安全的问题。第一个希望能够自动化,所有的话,比如说像漏洞管理。包括漏洞防护。
这些,都会建立一个自动机器学习的机械来大大减轻对安全的这样一个管控。同时,也提供一个非常好的一个可视化,比如说这些 K8S 的这些集群的合规性究竟是怎么样。
然后,也支持比如说像 Docker 或者 K8S 的这种访问控制,也可以通过这个推送来进行保护。
还有一个,是威胁防护,提供一个云原生的防火墙,包括 CI/CD 也集成来很好的去自动化的去解决这一系列的威胁的防护。
同时,也是在建一个平台上面也是唯一一家能够集成,这些所有的这些关于容器的这种保护在一个平台里面,比如说漏洞的防护和管理,比如说,有一些连带的一些攻击,或者说这些,CBE 的漏洞,那可能是,刚刚发现,现在目前所有的写 package 并没有一个很好的一个保护。
也没有一个 patch 可以去进行修复,那这种情况下,如果,必须得运行这些,服务或者这些容器的话,就非常依赖于Runtime 的保护,运行时的保护,或者说云原生的防火墙,包括通过访问控制来进行一系列的不同层级的对这个容器进行保护了。
对这个容器进行保护,这也是 twistlock 这个产品,它也是目前唯一一家能够集成这所有的这些威胁防护这防火墙也好。Runtime 的保护也好,包括事先的落幕管理,以及 csc 集成。合规性访问控制等等,在一个界面里面,方便我们所有的用户,安全的这样一些维护的人员能够在一个界面里面对整个一个这个安全的界面有一个一致性的一个管理。同时,设置了不同的保护的方方面面的策略,来进行一个提供一个非常安全的这样一个容器的安全保护。
