AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

容器安全-如何为运行中的容器提供主动防护|学习笔记

2022-11-22 170
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 快速学习容器安全-如何为运行中的容器提供主动防护

开发者学堂课程【5分钟玩转阿里云容器服务容器安全-如何为运行中的容器提供主动防护】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/1038/detail/16057

容器安全-如何为运行中的容器提供主动防护


内容介绍

一、容器安全-如何为运行中的容器提供主动防护

一、容器安全-如何为运行中的容器提供主动防护

运营时安全的一些关键产品特性原生为应用带来了敏捷、高效、分布式和不可等架构特征。相较于传统的安全模式,我们也需要在容器应用所进行相应的原生化安全转型。

这其中应用运势安全尤为重要。容器特性给安全架构带来了新的攻击面,各种针对容器逃逸和体权的攻击意识的攻击者可以直接威胁诸级安全。同时容器应用不再具有传统基于边界的安全模型中像 IP 地址这样的静态标识符,如何基于原生中动态的标签属性和源数据管理,容器应用资产也是运营是安全的关键。

为此我们可以选择使用阿里云安全中心,提升整个集群应用运行时的安全水位与安全中心旗舰版内置了针对容器运行时的威胁检测、告警和阻断能力,可以实时检测如恶意竞价、启动病毒和恶意程序、容器内部入侵逃逸等攻击行为,并提供相应的分析和溯源能力。

image.png

知道 service count 是集群 POD 中连接 API server 一个非常常见的凭证。而很多开发人员因为开发或调试的方便,会给 service count 绑定一个比较大的权限。而这样的思维思考会给攻击者留下可乘之机,攻击者可以利用或者窃取这样的思维思考的对机器人 PS 或者发起下一步的横向攻击。

在这个 demo demo 中我们会去演示利用 POD 中的 service count 对集群的 API server 发起一些疑似的请求。然后看一下我们是否能够收到实施的一个 runtime 的一定时刻安全的告警。这里我们首先选择一个目标的测试集群。

可以看到我们已经在集群中部署了一个测试的 POD 然后我们通过命令行的方式进入到这个 POD 中。

image.png

在 var,run,secrets 这个路径下,我们可以看到这个 service count 对应的 token 信息。我们首先去Pod一个环境变量。

然后我们利用一个这样的 curl 命令,去请求API Server 获取对应的 secrets 信息,可以看到我们这次请求的身份,是这个 ServiceAccount 身份。

image.png

这里我们进入到云安全中心的页面。我们首先可以看一下这个资产中心。在这个容器的 tab 中,我们可以看到我们当前容器侧的一些关键的资产,包括集群和镜像等关键信息。在安全告警处理页,我们可以看到所有的收到的实时的一些 runtime 的告警。可以看到我们已经收到了这次关于  k8s Secrets 的一个异常访问的一个提醒。

image.png

点击详情我们可以看到这次提醒的一些详细信息,包括这次请求的路由地址、发起请求的一个 size count 身份以及审计和集群的信息。通过这样的信息就可以及时提醒我们的集群的安全管理员去做好相应的访谈工作。在这个 demo 中我们会去展示针对挖矿攻击的一个预警时刻的监控和告警。我们知道挖空攻击是近年来一个比较常见的攻击形式,而 QS 节点也是挖矿程序一个重点的攻击目标。这里我们首先选择一个测试的目标集群。我们事先准备好了一个带有恶意的这个挖矿程序的一个镜像,我这段模板去以 department 的形式去部署。好这里可以看到我们的 deployment 已经等部署,在我们的容器控制台也可以看到我们的预定时刻的一个实时的安全监控的告警。

image.png

点击这个安全监控的链接,可以在这个页面看到我们的安全告警处理的一个展示,可以看到我们已经收到了刚才这个挖矿攻击的一个实时的告警,然后这里会显示相应的包括节点集群以及 deployment 的对应的一些资产信息。

点击详情可以看到这次抨击的一个详细信息,包括我们这次这个曝光程序的路径,以及它的执行的命令行,包括一些描述以及集群容器镜像的关键信息,来提醒我们的容器管理员进行相应的这个 department 删除等止血操作。我们会去来一起看一下对异常行为的一个实时检测以及危险响应的能力。

首先首选择我们的目标集群,然后进入到我们刚刚部署的这个 POD 中去执行一条我们恶意命令。在这个命令中我们会去尝是以这个删除系统日志的这种匿名的方式去注入这个可以的 web shell 执行这条命令回到我们的安全管理的这个实时运行时刻的监控页面,看一下我们是否能够收到告警。

image.png

首先是这个匿名的系统日志删除的这个告警,在这里可以看到相应的这个命令执行的信息以及它的这个容器 ID 镜像信息等等。我说我们可以点击溯源这个 tab 来查看整个供应链的一个消息信息。在可以命令执行中也是同样的一个展示。然后这里我们可以去点击处理,去做一个趋势的威胁的响应能力。

image.png

可以点击停止容器去把这个受到攻击的这个 POD 去停止。来看一下 POD 这个容器是不是会自动被停止掉,容器已经被停掉。通过上面的这个处理,我们可以去实时地做到一个微信响应的能力。

文章标签:
Perl
容器
供应链
监控
云安全
机器人
安全
开发者
数据管理
关键词:
容器安全
容器运行
容器学习笔记
容器安全容器
容器安全容器学习笔记
ftw2fzqaoykua
目录
相关文章
汀丶人工智能
|
27天前
|
JSON JavaScript 开发者
Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
【8月更文挑战第7天】Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
汀丶人工智能
57 2
Composerize神器:自动化转换Docker运行命令至Compose配置,简化容器部署流程
游客mldfis24krfue
|
22天前
|
Kubernetes Shell 测试技术
在Docker中,可以在一个容器中同时运行多个应用进程吗?
在Docker中,可以在一个容器中同时运行多个应用进程吗?
游客mldfis24krfue
110 3
游客mldfis24krfue
|
23天前
|
Shell Docker 容器
在Docker中,如何停止所有正在运行的容器?
在Docker中,如何停止所有正在运行的容器?
游客mldfis24krfue
22 4
热爱技术的小郑
|
22天前
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
热爱技术的小郑
10 0
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
小王老师呀
|
29天前
|
监控 Ubuntu Docker
如何在Docker容器启动时自动运行脚本
【8月更文挑战第13天】在Docker容器启动时自动运行脚本可通过以下方式实现:1) 使用`ENTRYPOINT`或`CMD`指令在Dockerfile中直接指定启动脚本,如`ENTRYPOINT ["/startup.sh"]`;2) 启动容器时通过`--entrypoint`参数指定脚本路径;3) 利用supervisor等进程管理工具自动启动与监控脚本,确保其稳定运行。确保脚本具有执行权限并正确设置依赖资源路径。
小王老师呀
406 1
DuckBro
|
1月前
|
容器
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Group Box的使用及说明
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Group Box的使用及说明
DuckBro
79 3
DuckBro
|
1月前
|
容器
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Tab Widget的使用及说明
【Qt 学习笔记】Qt常用控件 | 容器类控件 | Tab Widget的使用及说明
DuckBro
19 2
hh真是个慢性子
|
22天前
|
Docker 容器
docker: 修改运行容器的端口
docker: 修改运行容器的端口
hh真是个慢性子
59 0
白如意i
|
28天前
|
存储 缓存 Ubuntu
Docker详解:如何创建运行Memcached的Docker容器
Docker详解:如何创建运行Memcached的Docker容器
白如意i
15 0
。思索
|
30天前
|
网络协议 Docker 容器
Docker——如何修改运行中容器的映射端口
Docker——如何修改运行中容器的映射端口
。思索
45 0
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Minikube - Kubernetes本地实验环境
  • 4
    Docker的Windows容器初体验
  • 5
    Docker学习路线图 (持续更新中)
  • 6
    基于Docker的Tensorflow实验环境
  • 7
    Docker常见故障排查指南 - 阿里云容器服务
  • 8
    理解Docker容器的进程管理
  • 9
    使用Delve进行Golang代码的调试
  • 10
    Docker Engine 镜像源站
  • 1
    使用 NVIDIA NIM 在阿里云容器服务(ACK)中加速 LLM 推理
    43
  • 2
    容器服务ASK初评
    62
  • 3
    iCraft Editor - 助你轻松绘制出色的立体架构图
    67
  • 4
    如何利用服务网格ASM使用集群外服务做集群内服务的灾备
    92
  • 5
    利用服务网格实现全链路mTLS(二):通过出口网关访问外部mTLS服务
    111
  • 6
    利用服务网格实现全链路mTLS(一):在入口网关上提供mTLS服务
    105
  • 7
    容器化管理ACK
    76
  • 8
    阿里云 ACK 容器服务评测
    130
  • 9
    # 阿里云ACK产品评测
    92
  • 10
    阿里云ACK产品评测
    123

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
  • 《容器网络文件系统CNFS》

    • 相关实验场景

    更多
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 使用资源编排为云资源批量绑定标签
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
  • 容器的自定义网络
  • 容器的共享网络模型
  • 容器的启动和操作
    • 下一篇
    对象存储 OSS 如何创建 bucket|学习笔记