容器镜像安全风险与防护研究_陈妍.pdf
《容器镜像安全风险与防护研究_陈妍.pdf》由会员分享,可在线阅读,更多相关《容器镜像安全风险与防护研究_陈妍.pdf(7页珍藏版)》请在咨信网上搜索。
1、792|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023DOI:10.12379/j.issn.2096-1057.2023.08.11 收稿日期:2 0 2 3-0 4-1 2 基金项目:上海网络与信息安全测评工程技术研究中心(公安部第三研究所)开放课题资助项目 引用格式:陈妍,张福,胡俊.容器镜像安全风险与防护研究J.信息安全研究,2 0 2 3,9(8):7 9 27 9 8容器镜像安全风险与防护研究陈 妍1 张 福2 胡 俊21(公安部第三研究所 上海
2、 2 0 0 0 3 1)2(北京升鑫网络科技有限公司 北京 1 0 0 0 9 3)(2 7 1 6 0 8 8 0 9q q.c o m)R e s e a r c ho nS e c u r i t yR i s k sa n dP r o t e c t i o no fC o n t a i n e r I m a g e sC h e nY a n1,Z h a n gF u2,a n dH uJ u n21(T h eT h i r dR e s e a r c hI n s t i t u t eo fM i n i s t r yo fP u b l i cS e c u r
3、 i t y,S h a n g h a i2 0 0 0 3 1)2(B e i j i n gS h e n g x i nN e t w o r kT e c h n o l o g yC o.L t d.,B e i j i n g1 0 0 0 9 3)A b s t r a c t A st h ed i g i t a lt r a n s f o r m a t i o ns p e e d su p,m o r ea n d m o r ee n t e r p r i s e ss h i f tt oa d o p tc o n t a i n e r t e c h n
4、 o l o g y t o i m p r o v eb u s i n e s sp r o d u c t i v i t ya n ds c a l a b i l i t y i no r d e r t od e e p e n t h ep r o c e s so f i n d u s t r i a l d i g i t a l t r a n s f o r m a t i o n.A s t h eb a s i s f o rc o n t a i n e ro p e r a t i o n,c o n t a i n e r i m a g e sc o n t
5、 a i np a c k a g e da p p l i c a t i o n sa n dt h e i r d e p e n d e n c i e s,a s w e l la s p r o c e s si n f o r m a t i o nf o rc o n t a i n e ri n s t a n t i a t i o n.H o w e v e r,c o n t a i n e r i m a g e sa l s oh a v ev a r i o u s i n s e c u r ef a c t o r s.I no r d e rt os o l
6、 v et h ep r o b l e mf r o mt h es o u r c ea n dr e d u c e t h ev a r i o u s s e c u r i t yr i s k s a n d t h r e a t s f a c e db yc o n t a i n e r s a f t e rt h e ya r e i n s t a n t i a t e d,t h e f u l l-l i f e c y c l em a n a g e m e n t o f c o n t a i n e r i m a g e s s h o u l d
7、b e i m p l e m e n t e d.I nt h i sp a p e r,t h ea d v a n t a g e st h a tc o n t a i n e ri m a g e sb r i n gt ot h ea p p l i c a t i o n d e v e l o p m e n ta n dd e p l o y m e n tw e r ei n v e s t i g a t e s d,t h es e c u r i t yr i s k sf a c e db yc o n t a i n e ri m a g e sw e r ea
8、n a l y z e d.K e yt e c h n o l o g i e sf o rc o n t a i n e r m i r r o r i n gs e c u r i t yp r o t e c t i o nf r o mt h et h r e es t a g e so fc o n s t r u c t i o n,d i s t r i b u t i o n,a n do p e r a t i o nw e r ep r o p o s e d,a n dt h e nac o n t a i n e r i m a g es e c u r i t ys
9、 c a n n i n gt o o lw a sd e v e l o p e d,w h i c hc a ns c a nc o n t a i n e r i m a g e s f o ra p p l i c a t i o n sa n du n d e r l y i n g i n f r a s t r u c t u r e t h a tu s ec o n t a i n e rt e c h n o l o g y.I tw a sp r o v e dt oh a v eg o o dp r a c t i c a le f f e c t s,w h i c
10、hc a nh e l pe n t e r p r i s e sa c h i e v e f u l l-l i f e c y c l e i m a g es e c u r i t yp r o t e c t i o n.K e yw o r d s c o n t a i n e r i m a g e;i m a g er e g i s t r y;i m a g es c a n n i n g;i m a g es e c u r i t y;f u l l l i f e c y c l e摘 要 在企业加快数字化转型的过程中,为持续深化产业数字化转型进程,越来越多企
11、业采用容器技术提高业务生产效率和扩展性.容器镜像包含打包的应用程序及其依赖关系,以及启动时的进程信息,是容器运行的基础.但容器镜像也存在诸多不安全因素.为了从源头上解决问题,减少容器运行后面临的各类安全风险与威胁,需要实现对容器镜像的全生命周期管理.首先调研了容器镜像给应用程序开发、部署带来的优势,分析了容器镜像所面临的安全风险,在此基础上,提出了从构建、分发、运行3阶段的容器镜像安全防护关键技术,并研发了容器镜像安全扫描工具,能够对采用容器技 网址 http:/|793技 术 应 用Technical Applications术的应用程序和底层基础设施进行容器镜像扫描,具有良好的实践效果,能
12、够帮助企业实现全生命周期的镜像安全防护.关键词 容器镜像;镜像仓库;镜像扫描;镜像安全;全生命周期中图法分类号 T P 3 9 3.0 8 近年来,企业数字化转型成为推动我国经济社会发展的重要战略手段.为持续深化产业数字化转型进程,构建以云计算为核心的数字基础设施已成为一种行业共识.以容器为核心的云原生技术作为下一代云计算的技术内核1,具有高效稳定、快速响应的特点,能够带动业务走上提质增效、创新驱动的发展路线.容器镜像在容器生态系统中发挥着至关重要的作用.容器镜像包含打包的应用程序及其依赖关系,以及启动时的进程信息,是容器运行的基础,所有容器都由容器镜像启动.从容器镜像创建的任何容器都会继承其
13、所有特征,一旦镜像存在问题,所有由该镜像启动的容器都会出现同样的问题.因此,容器镜像安全是确保容器安全乃至云原生安全的重要一环,其重要性不言而喻.但容器镜像也存在各种安全问题2,包括镜像漏洞、镜像配置不合规、恶意镜像、镜像中包含敏感信息等.由于镜像是构建容器的源头,镜像一旦出现问题,波及范围较广,因此,有必要确保镜像的全生命周期安全.本文从介绍容器镜像的概念与特征入手,分析了容器镜像存在的安全风险,并提出了基于全生命周期的镜像安全防护措施.1 容器镜像概述1.1 容器镜像简介容器镜像是容器化平台的最基本单元,本质上是一个只读软件包,包含了应用程序运行所需的一切内容,包括容器运行所需的容器引擎(
14、如D o c k e r或C o r e O S)、系统库、实用程序、配置设置以及在容器上运行的特定工作负载.镜像可以部署在任何环境中,是容器化架构的核心组件.容器镜像是分层建立的,由在父镜像或基础镜像上添加的多个层构成.容器镜像可以共享底层主机的操作系统内核,因此不需要包含完整的操作系统.与虚拟机(VM)相比,容器镜像所占用的计算资源更少.同时,容器镜像使用开放标准,可以跨不同的基础设施运行,实现互操作.此外,容器镜像通常存储在一个叫作镜像仓库的中心位置.通过D o c k e rH u b等镜像仓库,用户可以存储自己的镜像,或查找和下载已创建好的镜像.1.2 容器镜像的优势与特征容器镜像的
15、最大优势在于快速下载、立即启动,其优势与特征主要体现在以下几个方面:1)可移植性.从镜像中启动的容器可在虚拟机、裸机服务器、开发者笔记本电脑上运行,可轻松实现在本地服务器和云端的移动,大大提高了可移植性.2)轻量性.镜像层可重复使用,大大增强了容器应用的轻量特性.3)速度快.容器镜像是一个轻量级的软件包,可在几秒内部署,通过容器镜像可快速复制容器,并根据需要快速部署.4)扩展性.通过挂载包含不同配置与数据文件的目录或卷,增强容器的扩容能力;同时,容器镜像既可由内部开发也可从外部镜像仓库引入,提供容器的可扩展性.5)隔离性与稳定性.在容器部署中,应用程序从底层基础设施中抽象出来,且相互隔离.镜像
16、构建后变成只读文件,是不可变基础设施的一部分;当由镜像启动的某些容器发生崩溃时,运行相同应用程序的其他容器可以继续正常运行.2 容器镜像安全风险分析在容器生态系统中,容器应用采用镜像这种不可变更的方式进行分发和运行.所有的容器实例均由镜像启动,而镜像中可能会存在软件漏洞、恶意程序、敏感信息等问题3.若基础镜像或应用镜像出现这些问题,则由镜像启动的容器实例的影响范围将是1个或多个集群.整体来讲,容器镜像的安全风险可以分为3类:镜像自身安全风险、镜794|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8
17、月Vol.9 No.8 Aug.2023像管理风险及镜像仓库给镜像带来的风险4-6.2.1 镜像自身安全风险镜像是实现容器化的第1层.由于大多数容器镜像是建立在第三方代码上的,所以即使它们经过定制开发,也会存在第三方漏洞等风险.镜像自身存在的安全风险主要包含以下几类:1)镜像漏洞.镜像漏洞是容器面临的最常见的一种安全威胁,是嵌入在容器镜像中的安全风险.镜像漏洞通常由于程序库不安全或其他引入容器镜像的依赖关系不安全.此外,镜像中也可能包含在软件供应链攻击或对开发软件的类似攻击中嵌入的恶意代码.虽然有漏洞的镜像本身并不构成威胁,但如果基于有漏洞的镜像来创建或启动容器,这些容器就会把漏洞引入到运行环
18、境中.2)应用漏洞.即使容器镜像和容器运行环境是安全的,如果使用容器托管的应用程序在其源代码中包含缺陷,也会面临安全问题.例如,数据输入验证不充分可能会导致S Q L注入攻击,让攻击者能够访问敏感信息.此外,如果出现缓冲区溢出漏洞,攻击者就能执行任意代码,获得容器管理权限,并逃逸到主机.3)恶意镜像.尽管合法的容器镜像经常会包含漏洞,但攻击者通常会将恶意镜像伪装成合法镜像,这是容器镜像面临的一个更大风险.由于镜像只是打包在一起的文件集合,其中可能会被有意或无意地嵌入恶意文件.攻击者通过将包含恶意软件、木马病毒的镜像上传到D o c k e rH u b等镜像仓库,并赋予恶意镜像一个看起来合法的
19、名字(如m y s q l d a t a-b a s e或n g i n x s e r v e r),可能会骗过管理员,导致管理员利用恶意镜像启动容器.4)敏感信息.用户在将应用打包成镜像时,一些敏感信息如p a s s w o r d s,k e y s,c r e d e n t i a l s,s e c r e t s等会被直接嵌入文件系统.许多应用需要密钥或凭据才能实现组件间的安全通信,将敏感信息直接嵌入镜像虽然方便用户操作,但也造成很大的安全风险.所有能够访问镜像的人都可以通过查看镜像获取这些敏感信息.5)镜像配置不合规.若容器镜像配置不合规也会增加容器的攻击面.如镜像中使用企
20、业禁用的应用(如低版本、存在漏洞的j a r包);镜像没有使用特定用户账户进行配置,导致运行时用户权限过高,如r o o t权限.这些配置缺陷都会让容器面临不必要的安全风险.2.2 镜像管理风险镜像管理风险主要是对镜像来源及镜像构建过程控制不严格造成的.镜像作为创建容器的源头,若对镜像使用进行有效规范,可避免在容器运行时出现问题造成业务终止,引起运维成本飙升.1)镜像来源不可信.由于镜像具有很强的可移植性,用户可以很便捷地从公有镜像仓库中将镜像拉取出来,部署到自己的生产环境中.但从公有镜像仓库下载的镜像,很可能会因为版本过期而存在软件漏洞,或者被攻击者植入木马病毒文件.2)镜像构建过程控制不严
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 容器 安全 风险 防护 研究 陈妍
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。