开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :容器运行时的保护(二)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/628/detail/9878
容器运行时的保护(二)
三、取证数据时间轴可让您重播或调查安全事件
保持有关运行中的容器和主机的遥测的滚动日志当检测到潜在事件时。会保留相关数据进行分析
//这个取证,也就是针对这些调查安全事件,提供这个详细的日志报告,那在右边的图里面可以看到,它非常详细,首先它有事件的分析。有 runtime 的 audit,还是有哪些进程,包括有些二进制文件的创建,包括一些事件,这里面都有非常详细的,根据不同的颜色,然后根据时间点时间轴,来进行列举。比如说点到某一个进程。会告诉你,它自动在上面会告诉你这是时间在哪,所以。会非常详细的分析,以及提供这样一个日志的一个报告。
另外一个,也可以取证调查,可以点一个 export,会把这个相关的所有的这些日志的信息。给生成下载下来,做一个包,可以非常方便地把这些文件提交给这个设计的部门。
四、演示内容
基于容器的进程控制
文件系统的保护
//进行一些演示。分为两个部分,一个是看一下基于容器的这个进程的控制,怎么来保证这个容器里面只允许希望它运行的那些进程,另外一个,要做一个关于文件系统的保护。也就是说,把这个容器的它这个文件系统把它给锁住,不允许做任何的文件的一些增加,或者去修改它的文件系统。
//演示环节。看一下推送的界面,首先第一个就是说所谓的容器建立的四个机械的模型,第一个 process ,就是说它分为 static 和 behavior, static 是这个容器生成的时候,它所进行的这样一些命令,它会自动写在这个 static 里面。
另外,在容器运行了以后,在整个 learning,在这个容器生成了以后,会有24小时的这个自动学习,在这个24小时以内,会去学习有哪些的这样一个行为。
那这些行为,会觉得就是说是一个正常的这样一些操作。也会进行一些学习,比如这是在这个容器的,学习的过程中,会把之前自动做的一些操作,会进行学习到模型当中。当然了,这些模型学到的这个过程,也可以手动的,通过一些白名单或者黑名单的方式,把给过滤掉。比如说现在是,有 bash 的这样,是可以手动的去禁止。
//结果另外一个,会去学到,这个容器的话,它静态的会在哪些端口进行监听,也会学到,正向行为的过程中,有哪些端口进行监听,这些也都是可以进行修改,包括输网的这个 Internet 端口以及这些。学到的这些,也就是 DNS 的解析,另外 file system, file system,是学到可以进行修改的,比如说这个 bin/bush,因为登录进去,所以它会自动,那时候会自动写这个文件,对引入的登记进去,所以会在这个穴道,载入的这个user的这个 home directory会有这样一个文件的修改,所以会学到这个模型里面,另外,它可以这个进行允许的 system call,有哪些 system call 可以去调用的,包括整个 history,所有在这个容器里面,进行打过一些命令,都会可以记录下来,另外这设备。
//另外一个方式看的一个模型的话,也可以通过这样一个方式,通过这点进去,和刚才的地方是一模一样,但是更方便,在这个 dashboard 这样一个雷达图里面,可以很快的知道,这个容器所对应的镜像,学到的这一些命令,建立的一个视频的模型。
进入这个 run time 的一个配置界面,比如说在 runtime 里面,可以看到在 runtime 里面,它会分为 content ,policy就是容器的这个策略也是经常会用的。然后,这里有个开关,需要打开这个自动机的继续学习,然后包括 host 这个policy 主机的这个 policy,比如说这个策略,会去这个目录下面的所有的这些改动,然后进行观测,包括 service 无服务的这个策略。这个 ISP 这样一个 policy,是那个跟着 container 走这样一个部署模式,也可以去定 policy。
//那现在先着重来看一下,就是距容器这个 process 的这样一个进程的一个管理。首先,去打开了只针对于可以去手动去选择,可以针对于是容器。也针对于是镜像的一个针对主机,包括 labels,也就是 namespace,来进行特殊的一个管理。然后,这里选的是指针,对于这一个镜像,进行这样一个处理,可以建多个 policy 来针对不同的镜像或者 namespace,如果希望有更加细化的一些管理,那比如说在这里的进程方面,开了 prevent,也就是说,任何在这个基础学习之外的,都会给过滤掉,比如说刚才允许那个 bus 需要的这个调用对,那如果也可以去把它放在别人黑名单里面,把给过滤掉。
五、代码演示
无法进入容器进行操作,一些容器的操作都被禁止了。对容器进行操作,需要将容器打开,建议容器不有任何的手动的操作,如果要进行演示的话,需要将它打开,假设已进入容器,可以通过一些方法。
比如说,有哪些文件会被 denied,在进程里面,不认为这是正常的,所以很多的命令都会被默认了,那现在的话,如果要对命令进行一些修改,第一个方式是进行 runtime 模式,自动在学习24小时。在这样的模式下可以直接加入,然后也可以做一个手动学习。
当然,另外一个比较快捷的方式是手动地添加一些白名单或者黑名单,有些命令不允许在容器里运行,运行得非常快,直接会 block,这是关于进程的控制,现在的话,另外一个方式,比如说当然网络,网络就比较明显。
现在的用户身份就是默认的,应该是可以做任何的操作,现在的话是 vimtext 文件,它会报错,因为它这个是写的权限有问题,那比如说保存和删除都不行,所以它没有这个整个文件写的权限,全都被锁定了,所以没有办法做任何的工作。
在策略里默认是全部锁定,那比如说我现在是想把目录打开。做一个写的操作,那现在来,因为是要去写到目录下面,去分析一下文件,但这个没关系,可以看到文件已经生成了。这就是对文件系统进行锁定,保证容器的环境不会被恶意给黑客去写一些不好的代码。
关于这个容器的 runtime 的保护,可以看一下所生成的一些 alert。
这就是取证报告的一个非常详细的分析,比如说输入了哪些命令,然后到处是会去写一个可疑的文件,因为,不允许随意更改,所以会报错。
根据这些,可以做些过滤比如容器何时会开始,可以过滤想显示的信息,同时它就会自动下载文件,调查报告方便日后提交。
