多維度容器安全 護航5G云原生

核心網系統(tǒng)架構師  楊春建

容器面臨的安全威脅

垂直行業(yè)需求千差萬別，提供低成本、快速適應行業(yè)需求的創(chuàng)新方案成為5G成功商用的關鍵。

容器作為NFV轉型的最佳載體，成為創(chuàng)新發(fā)展的助燃劑，基于容器的云原生應用將成為CT應用的趨勢。然而，容器在使用過程中面臨著諸多安全威脅：

● 鏡像文件安全威脅

容器鏡像的安全將影響到整個容器安全：鏡像軟件可能存在漏洞；鏡像倉庫訪問控制不善，鏡像可能被篡改，鏡像文件完整性被破壞，惡意鏡像文件或配置被植入后門和木馬。

● 容器自身的安全威脅

多個應用共享容器資源，攻擊者可利用容器攻擊主機或其他容器；在容器生命周期內，容器運行時面臨文件系統(tǒng)威脅、DDoS攻擊、容器逃逸等威脅；容器刪除后，存在剩余信息未及時消除、計算及網絡資源未及時釋放等威脅。

● 容器網絡安全威脅

SDN/NFV電信網絡場景下，需要部署多個虛擬網絡平面并實現網絡流量隔離，否則控制面、信令面和管理面間流量互相影響，無法保障業(yè)務安全。

● 容器數據安全威脅

容器對于無狀態(tài)和有狀態(tài)的應用程序都是有用的。保護的存儲安全是確保有狀態(tài)服務安全的關鍵要素,否則嚴重影響業(yè)務連續(xù)性。

● 容器主機安全威脅

攻擊者可利用操作系統(tǒng)和其他網絡組件的安全漏洞實施攻擊；利用共享內核程序非法監(jiān)控所有進程；篡改主機操作系統(tǒng)文件，通過主機對容器進行攻擊、非法操作容器、竊取敏感數據信息。

● 容器訪問安全威脅

容器開放一系列用戶接口和API編程接口，接口容易被意外和惡意接入；同時接口可能被利用，來開發(fā)出更有價值的服務，引入更復雜的API，安全威脅也會相應增加。

● 容器編排安全威脅

容器編排負責管理整個容器的生命周期，惡意管理員可能越權或非授權管理資源、數據，就會存在系統(tǒng)異常、系統(tǒng)被篡改、VNF敏感信息泄露等威脅。

安全是容器的基本需求之一，應采用有效的安全舉措消除系統(tǒng)安全風險，保障容器化應用的安全運行。

中興通訊容器安全解決方案

針對容器安全風險，中興通訊提出多維度容器安全解決方案，該方案基于物理基礎設施安全、容器自身安全、鏡像安全、訪問安全、安全運維、數據安全等角度，利用多個安全組件，有效實現容器安全威脅的防御。

圖1：容器安全框架

● 鏡像安全

中興通訊容器管理平臺集成了Clair和Anchore等容器安全工具，可實時對容器鏡像進行深度掃描，提取每層鏡像文件進行特征與CVE漏洞庫進行比對分析；同時對鏡像進行整體數字簽名，根據鏡像標簽發(fā)布，對鏡像每層文件進行Hash完整性校驗，防止被篡改；對鏡像倉庫訪問雙向認證，并采用安全協(xié)議進行傳輸保護，實現對鏡像全流程安全防護，保證運行安全。

● 資源隔離

在操作系統(tǒng)、容器、VNF/APP部署時，可以根據防護安全策略自動配置安全隔離方式。在主機側，操作系統(tǒng)啟動強制訪問控制SELinux,配置每個程序級別的訪問控制，定義合適訪問策略；啟用CPU親和機制，保證CPU緩存數據無法被利用；在容器內，通過Namespace、Control Groups構建應用沙箱實現隔離與資源SLA限制；根據VNF需求開放特定的能力，限制容器進程的運行特權和系統(tǒng)調用，實現資源隔離與訪問隔離，防止越權訪問和橫向攻擊。

● 網絡安全

支持NFV多網絡平面方案

中興通訊容器安全解決方案包含自主研發(fā)的插件Knitter，實現多網絡平面功能，網絡隔離，并設定安全訪問策略,劃分安全域，有效防護了網絡攻擊，同時滿足高性能轉發(fā)的需求。

圖2：Knitter架構圖

網絡流量可視化

中興通訊容器安全方案利用自研的DexMesh組件，實現對網絡的監(jiān)控、動態(tài)服務發(fā)現、流量管理（路由規(guī)則、故障注入、負載均衡、斷路），并支持應用灰度發(fā)布、應用監(jiān)控、度量和調用跟蹤。

通過集中管理模塊統(tǒng)一下發(fā)網絡管理策略,并對每個POD內的策略管理，實現基于服務的網絡流量控制、超時策略、重試策略，斷路器功能等。

圖3：DexMesh架構

通過DexMesh組件實現對網絡流量管理，使得網絡管理不受容器應用IP變化、上下線和彈縮影響。上層流量管理模塊可直接觀察服務和對應流量狀態(tài)，網絡策略的實現直接基于應用標簽，更適用于容器化平臺的網絡安全管理。該架構還可以集成第三方網絡安全組件，實現集群的縱深防御。

●  數據安全

中興通訊容器安全方案采用存儲動態(tài)provision方案, 為容器應用提供PVC服務，可以實現容器應用的移植便利性，也使得容器應用無法直接獲取具體的存儲卷信息，減少信息泄露風險。

外掛存儲的保密性和完整性保護特性有助于數據安全保護，容器化應用可采用Secret對象存儲自己使用的密鑰等敏感數據，并通過環(huán)境變量掛載方式實現特定驅動器的加密, 減小敏感信息的泄露幾率。

圖4：存儲架構

基于CIS Benchmark 的容器配置構建方案, 實現全系統(tǒng)產品的統(tǒng)一合規(guī)基線。管理員可設定差異化的安全策略，實現主機、鏡像和運行態(tài)容器、Kubernetes的安全狀態(tài)檢查。

● 主機安全

主機安全主要是對操作系統(tǒng)進行安全加固，裁剪操作系統(tǒng)的非必要組件，關閉不使用服務端口；開啟系統(tǒng)防火墻；使用最新安全協(xié)議，啟動安全審計服務；提供漏洞和補丁管理，設置安全補丁或安全配置基線修補策略，實現自動化管理。

● 訪問安全

在SDN/NFV場景下，基于Oauth2.0授權機制，可實現NFV架構下各平臺之間、API接口及應用間的雙向認證鑒權，并利用基于Openstack的keystone組件實現資源級授權；

● 安全運維

中興通訊容器安全方案集成了Prometheus、Elasticsearch、Heapster、Filebeat等開源組件，對平臺組件、容器、k8s 原生對象的日志、事件、告警、資產進行全面監(jiān)控；可實時監(jiān)控容器內入侵事件，對容器內的反彈、提權行為進行監(jiān)控，及時發(fā)現異常入侵的痕跡；對于發(fā)現容器入侵事件、網絡安全問題的容器，及時對受感染容器進行隔離甚至停止運行并告警。

總結與展望

基于對多個容器化應用安全威脅的深度分析，中興通訊利用縱深化防御理念，通過資源隔離、鏡像安全和安全監(jiān)控等多種手段，有效保障容器安全部署和運維。

中興通訊愿與業(yè)界一起推動網絡及信息安全，尤其針對電信邊緣計算應用，提升電信網的安全服務能力，構建和諧的電信網安全生態(tài)圈。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。