【導(dǎo)讀】作為平臺級的容器環(huán)境，比以往任何的基礎(chǔ)架構(gòu)平臺更加的接近業(yè)務(wù)，同時也包含了更多的層級和組件，因此也帶來了更多的風(fēng)險，容器平臺基礎(chǔ)組件部分和容器云管理平臺部分是容器云平臺安全設(shè)計的關(guān)鍵 。本文列舉了容器平臺安全的幾個典型風(fēng)險，并分享了容器云平臺基礎(chǔ)安全設(shè)計和管理安全設(shè)計的方法經(jīng)驗 。1 容器云平臺風(fēng)險及挑戰(zhàn)
容器云平臺是通過容器編排引擎及容器運行時等技術(shù)提供應(yīng)用運行平臺，從而實現(xiàn)運維自動化、快速部署應(yīng)用、彈性伸縮和動態(tài)調(diào)整應(yīng)用環(huán)境資源，進而提高研發(fā)運營的效率，目前市場上主流的容器云平臺是基于Google Kubernetes（簡稱k8s）容器編排引擎和容器引擎建立 。本文中介紹內(nèi)容也是針對此類的容器云平臺 。
作為平臺級的容器環(huán)境，比以往任何的基礎(chǔ)架構(gòu)平臺更加的接近業(yè)務(wù)，同時也包含了更多的層級和組件，因此也帶來了更多的風(fēng)險；目前容器安全也是一個信息安全的新興領(lǐng)域，該領(lǐng)域的技術(shù)和產(chǎn)品也在不斷完善中，下面我們先從風(fēng)險的角度列舉幾個常見的例子，讓大家對容器平臺安全有個感性認識：
1.1 軟件漏洞風(fēng)險
容器的設(shè)計雖然實現(xiàn)了良好的操作系統(tǒng)級隔離，但同時也存在很多安全隱患，比如容器是運行在宿主機上的一種特殊的進程，那么多個容器之間使用的就還是同一個宿主機的操作系統(tǒng)內(nèi)核，其次在Linux內(nèi)核中，有很多資源和對象是不能被Namespace化的，最典型的例子是：時間，即如果某個容器修改了時間，那整個宿主機的時間都會隨之修改，非計劃內(nèi)的修改系統(tǒng)時間，對于時間敏感的應(yīng)用可能引起數(shù)據(jù)錯誤甚至進程crash，老版本Oracle數(shù)據(jù)庫就存在這樣的問題 。
Kubernetes作為容器編排引擎，如果在規(guī)劃和部署架構(gòu)方面存在缺陷，同樣會和傳統(tǒng)環(huán)境一樣容易受到外部攻擊者和具有惡意的內(nèi)部人員的攻擊 。因此，需要保障大型容器云環(huán)境具有正確的安全部署體系結(jié)構(gòu)，并為應(yīng)用上云提供安全最佳實踐 。
根據(jù)國家信息安全漏洞庫的統(tǒng)計，截止2019年1月2日，Docker相關(guān)的漏洞共40個，其中包括Apache、RedHat、hyper、boot2docker、Jenkins等廠商產(chǎn)品或開源項目 。
2018年，Kubernetes生態(tài)系統(tǒng)因發(fā)現(xiàn)Kubernetes的第一個主要安全漏洞（Kubernetes特權(quán)升級漏洞 CVE-2018-1002105）而動搖 。該漏洞使攻擊者能夠通過k8s api server實現(xiàn)提升k8s普通用戶到k8s api-server的最高權(quán)限，然后運行代碼來安裝惡意軟件，進而破壞k8s集群 。除此之外還有CVE-2019-11245 Kubernetes kubelet v1.13.6 and v1.14.2提權(quán)漏洞，實現(xiàn)了在通常情況下以容器Dockerfile中指定的USER運行的容器，有時可以以root身份運行（在容器重啟時，或者如果鏡像先前被拉到節(jié)點） 。這種情況的出現(xiàn)違反了容器禁止以root（容器內(nèi)進程運行用戶是root）運行的最佳實踐 。
1.2 API安全風(fēng)險
此部分集中關(guān)注容器云平臺基礎(chǔ)組件提供的api服務(wù)的安全問題，比如k8s api server，如果在構(gòu)建容器云平臺時擴展或者封裝了平臺管理api，也需要關(guān)注并進行加固 。
Docker很多服務(wù)默認監(jiān)聽在Unix Socket上，比如unix:///var/run/docker.sock，為了實現(xiàn)集群管理，還提供了一個遠程管理接口的REST API，允許通過TCP遠程訪問服務(wù) 。開啟沒有任何加密和訪問控制的Docker Remote API服務(wù)是非常危險的 。尤其是將默認的2375端口暴露到互聯(lián)網(wǎng)中，一旦被攻擊者發(fā)現(xiàn)，攻擊者無需認證即可訪問到容器數(shù)據(jù)，從而導(dǎo)致敏感信息泄露，也可以惡意刪除容器上的數(shù)據(jù)，或可進一步利用容器自身特性，直接訪問主機上的敏感信息，獲取服務(wù)器root權(quán)限，對敏感文件進行修改并最終完全控制服務(wù)器 。

推薦閱讀

• 

  鷹手營子礦區(qū)美食
• 

  手機觸屏失靈關(guān)不了機怎么辦 手機觸屏失靈的解決方法
• 

  筆記本電腦硬盤分區(qū)的合理方法 筆記本電腦硬盤怎么分區(qū)比較合理
• 

  金蟬花什么時候采摘
• 

  點痣后敷什么面膜好
• 

  孩子上課注意力不集中怎么辦 主要表現(xiàn)在哪些方面
• 

  食用堿能洗衣服嗎
• 

  十大高蛋白食物排行榜 十大高蛋白食物排行有哪些
• 

  我的起源加姆犬怎么樣 加姆犬技能介紹
• 

  853用后感小結(jié)
• 

  衡陽到武岡油費多少，衡陽到武岡票價是多少
• 

  蘋果怎么更改地區(qū)設(shè)置
• 

  深圳加班費，深圳市勞動法工資是多少加班費又是多少
• 

  華為手機顯示4G上不了網(wǎng)，怎么解決！移動已經(jīng)刷過數(shù)據(jù)了！
• 

  葉坪大門票多少錢，董寨國家級自然保護區(qū)門票多少錢
• 

  左滑推薦怎么關(guān)

• 混合云用戶該知道的存儲選型套路？
• 馬云將辭任軟銀董事,馬云辭去軟銀董事
• LOL云頂之奕9劍士是哪幾個
• 馬云買肯德基多少股份,肯德基有馬云的股份嗎
• 數(shù)據(jù)分析平臺有哪些,各大平臺數(shù)據(jù)分析
• 云上貴州icloud,提升iCloud體驗
• 云服務(wù)多少錢一個月？
• 租用香港云服務(wù)器的幾個問題
• 為什么韓國云服務(wù)器值得推薦
• 香港云主機租賃價格如何？如何選擇最好的？