首頁(yè)|必讀|視頻|專(zhuān)訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 技術(shù) >> 正文

多維度容器安全 護(hù)航5G云原生

2020年5月21日 15:27  CCTIME飛象網(wǎng)  

核心網(wǎng)系統(tǒng)架構(gòu)師  楊春建

容器面臨的安全威脅

垂直行業(yè)需求千差萬(wàn)別,提供低成本、快速適應(yīng)行業(yè)需求的創(chuàng)新方案成為5G成功商用的關(guān)鍵。

容器作為NFV轉(zhuǎn)型的最佳載體,成為創(chuàng)新發(fā)展的助燃劑,基于容器的云原生應(yīng)用將成為CT應(yīng)用的趨勢(shì)。然而,容器在使用過(guò)程中面臨著諸多安全威脅:

鏡像文件安全威脅

容器鏡像的安全將影響到整個(gè)容器安全:鏡像軟件可能存在漏洞;鏡像倉(cāng)庫(kù)訪問(wèn)控制不善,鏡像可能被篡改,鏡像文件完整性被破壞,惡意鏡像文件或配置被植入后門(mén)和木馬。

● 容器自身的安全威脅

多個(gè)應(yīng)用共享容器資源,攻擊者可利用容器攻擊主機(jī)或其他容器;在容器生命周期內(nèi),容器運(yùn)行時(shí)面臨文件系統(tǒng)威脅、DDoS攻擊、容器逃逸等威脅;容器刪除后,存在剩余信息未及時(shí)消除、計(jì)算及網(wǎng)絡(luò)資源未及時(shí)釋放等威脅。

容器網(wǎng)絡(luò)安全威脅

SDN/NFV電信網(wǎng)絡(luò)場(chǎng)景下,需要部署多個(gè)虛擬網(wǎng)絡(luò)平面并實(shí)現(xiàn)網(wǎng)絡(luò)流量隔離,否則控制面、信令面和管理面間流量互相影響,無(wú)法保障業(yè)務(wù)安全。

容器數(shù)據(jù)安全威脅

容器對(duì)于無(wú)狀態(tài)和有狀態(tài)的應(yīng)用程序都是有用的。保護(hù)的存儲(chǔ)安全是確保有狀態(tài)服務(wù)安全的關(guān)鍵要素,否則嚴(yán)重影響業(yè)務(wù)連續(xù)性。

容器主機(jī)安全威脅

攻擊者可利用操作系統(tǒng)和其他網(wǎng)絡(luò)組件的安全漏洞實(shí)施攻擊;利用共享內(nèi)核程序非法監(jiān)控所有進(jìn)程;篡改主機(jī)操作系統(tǒng)文件,通過(guò)主機(jī)對(duì)容器進(jìn)行攻擊、非法操作容器、竊取敏感數(shù)據(jù)信息。

容器訪問(wèn)安全威脅

容器開(kāi)放一系列用戶(hù)接口和API編程接口,接口容易被意外和惡意接入;同時(shí)接口可能被利用,來(lái)開(kāi)發(fā)出更有價(jià)值的服務(wù),引入更復(fù)雜的API,安全威脅也會(huì)相應(yīng)增加。

容器編排安全威脅

容器編排負(fù)責(zé)管理整個(gè)容器的生命周期,惡意管理員可能越權(quán)或非授權(quán)管理資源、數(shù)據(jù),就會(huì)存在系統(tǒng)異常、系統(tǒng)被篡改、VNF敏感信息泄露等威脅。

安全是容器的基本需求之一,應(yīng)采用有效的安全舉措消除系統(tǒng)安全風(fēng)險(xiǎn),保障容器化應(yīng)用的安全運(yùn)行。

中興通訊容器安全解決方案

針對(duì)容器安全風(fēng)險(xiǎn),中興通訊提出多維度容器安全解決方案,該方案基于物理基礎(chǔ)設(shè)施安全、容器自身安全、鏡像安全、訪問(wèn)安全、安全運(yùn)維、數(shù)據(jù)安全等角度,利用多個(gè)安全組件,有效實(shí)現(xiàn)容器安全威脅的防御。

圖1:容器安全框架

鏡像安全

中興通訊容器管理平臺(tái)集成了Clair和Anchore等容器安全工具,可實(shí)時(shí)對(duì)容器鏡像進(jìn)行深度掃描,提取每層鏡像文件進(jìn)行特征與CVE漏洞庫(kù)進(jìn)行比對(duì)分析;同時(shí)對(duì)鏡像進(jìn)行整體數(shù)字簽名,根據(jù)鏡像標(biāo)簽發(fā)布,對(duì)鏡像每層文件進(jìn)行Hash完整性校驗(yàn),防止被篡改;對(duì)鏡像倉(cāng)庫(kù)訪問(wèn)雙向認(rèn)證,并采用安全協(xié)議進(jìn)行傳輸保護(hù),實(shí)現(xiàn)對(duì)鏡像全流程安全防護(hù),保證運(yùn)行安全。

資源隔離

在操作系統(tǒng)、容器、VNF/APP部署時(shí),可以根據(jù)防護(hù)安全策略自動(dòng)配置安全隔離方式。在主機(jī)側(cè),操作系統(tǒng)啟動(dòng)強(qiáng)制訪問(wèn)控制SELinux,配置每個(gè)程序級(jí)別的訪問(wèn)控制,定義合適訪問(wèn)策略;啟用CPU親和機(jī)制,保證CPU緩存數(shù)據(jù)無(wú)法被利用;在容器內(nèi),通過(guò)Namespace、Control Groups構(gòu)建應(yīng)用沙箱實(shí)現(xiàn)隔離與資源SLA限制;根據(jù)VNF需求開(kāi)放特定的能力,限制容器進(jìn)程的運(yùn)行特權(quán)和系統(tǒng)調(diào)用,實(shí)現(xiàn)資源隔離與訪問(wèn)隔離,防止越權(quán)訪問(wèn)和橫向攻擊。

網(wǎng)絡(luò)安全

支持NFV多網(wǎng)絡(luò)平面方案

中興通訊容器安全解決方案包含自主研發(fā)的插件Knitter,實(shí)現(xiàn)多網(wǎng)絡(luò)平面功能,網(wǎng)絡(luò)隔離,并設(shè)定安全訪問(wèn)策略,劃分安全域,有效防護(hù)了網(wǎng)絡(luò)攻擊,同時(shí)滿足高性能轉(zhuǎn)發(fā)的需求。

圖2:Knitter架構(gòu)圖

網(wǎng)絡(luò)流量可視化

中興通訊容器安全方案利用自研的DexMesh組件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)控、動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、流量管理(路由規(guī)則、故障注入、負(fù)載均衡、斷路),并支持應(yīng)用灰度發(fā)布、應(yīng)用監(jiān)控、度量和調(diào)用跟蹤。

通過(guò)集中管理模塊統(tǒng)一下發(fā)網(wǎng)絡(luò)管理策略,并對(duì)每個(gè)POD內(nèi)的策略管理,實(shí)現(xiàn)基于服務(wù)的網(wǎng)絡(luò)流量控制、超時(shí)策略、重試策略,斷路器功能等。

圖3:DexMesh架構(gòu)

通過(guò)DexMesh組件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量管理,使得網(wǎng)絡(luò)管理不受容器應(yīng)用IP變化、上下線和彈縮影響。上層流量管理模塊可直接觀察服務(wù)和對(duì)應(yīng)流量狀態(tài),網(wǎng)絡(luò)策略的實(shí)現(xiàn)直接基于應(yīng)用標(biāo)簽,更適用于容器化平臺(tái)的網(wǎng)絡(luò)安全管理。該架構(gòu)還可以集成第三方網(wǎng)絡(luò)安全組件,實(shí)現(xiàn)集群的縱深防御。

  數(shù)據(jù)安全

中興通訊容器安全方案采用存儲(chǔ)動(dòng)態(tài)provision方案, 為容器應(yīng)用提供PVC服務(wù),可以實(shí)現(xiàn)容器應(yīng)用的移植便利性,也使得容器應(yīng)用無(wú)法直接獲取具體的存儲(chǔ)卷信息,減少信息泄露風(fēng)險(xiǎn)。

外掛存儲(chǔ)的保密性和完整性保護(hù)特性有助于數(shù)據(jù)安全保護(hù),容器化應(yīng)用可采用Secret對(duì)象存儲(chǔ)自己使用的密鑰等敏感數(shù)據(jù),并通過(guò)環(huán)境變量掛載方式實(shí)現(xiàn)特定驅(qū)動(dòng)器的加密, 減小敏感信息的泄露幾率。

圖4:存儲(chǔ)架構(gòu)

基于CIS Benchmark 的容器配置構(gòu)建方案, 實(shí)現(xiàn)全系統(tǒng)產(chǎn)品的統(tǒng)一合規(guī)基線。管理員可設(shè)定差異化的安全策略,實(shí)現(xiàn)主機(jī)、鏡像和運(yùn)行態(tài)容器、Kubernetes的安全狀態(tài)檢查。

● 主機(jī)安全

主機(jī)安全主要是對(duì)操作系統(tǒng)進(jìn)行安全加固,裁剪操作系統(tǒng)的非必要組件,關(guān)閉不使用服務(wù)端口;開(kāi)啟系統(tǒng)防火墻;使用最新安全協(xié)議,啟動(dòng)安全審計(jì)服務(wù);提供漏洞和補(bǔ)丁管理,設(shè)置安全補(bǔ)丁或安全配置基線修補(bǔ)策略,實(shí)現(xiàn)自動(dòng)化管理。

● 訪問(wèn)安全

在SDN/NFV場(chǎng)景下,基于Oauth2.0授權(quán)機(jī)制,可實(shí)現(xiàn)NFV架構(gòu)下各平臺(tái)之間、API接口及應(yīng)用間的雙向認(rèn)證鑒權(quán),并利用基于Openstack的keystone組件實(shí)現(xiàn)資源級(jí)授權(quán);

● 安全運(yùn)維

中興通訊容器安全方案集成了Prometheus、Elasticsearch、Heapster、Filebeat等開(kāi)源組件,對(duì)平臺(tái)組件、容器、k8s 原生對(duì)象的日志、事件、告警、資產(chǎn)進(jìn)行全面監(jiān)控;可實(shí)時(shí)監(jiān)控容器內(nèi)入侵事件,對(duì)容器內(nèi)的反彈、提權(quán)行為進(jìn)行監(jiān)控,及時(shí)發(fā)現(xiàn)異常入侵的痕跡;對(duì)于發(fā)現(xiàn)容器入侵事件、網(wǎng)絡(luò)安全問(wèn)題的容器,及時(shí)對(duì)受感染容器進(jìn)行隔離甚至停止運(yùn)行并告警。

總結(jié)與展望

基于對(duì)多個(gè)容器化應(yīng)用安全威脅的深度分析,中興通訊利用縱深化防御理念,通過(guò)資源隔離、鏡像安全和安全監(jiān)控等多種手段,有效保障容器安全部署和運(yùn)維。

中興通訊愿與業(yè)界一起推動(dòng)網(wǎng)絡(luò)及信息安全,尤其針對(duì)電信邊緣計(jì)算應(yīng)用,提升電信網(wǎng)的安全服務(wù)能力,構(gòu)建和諧的電信網(wǎng)安全生態(tài)圈。

編 輯:孫秀杰
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問(wèn)題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專(zhuān)題
專(zhuān)題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱(chēng): 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書(shū)面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像