張燕子

（西安郵電大學(xué)，陜西 西安 710121）

0 前 言

隨著高校數(shù)字化建設(shè)的不斷發(fā)展，為了節(jié)約硬件成本、加強(qiáng)網(wǎng)絡(luò)安全管控，虛擬化技術(shù)已經(jīng)成為絕大多數(shù)高校數(shù)據(jù)中心的基礎(chǔ)配置。通過構(gòu)建私有云管理平臺[1]，可以將硬件基礎(chǔ)設(shè)施以IaaS（Infrastructureas a Service）的方式為全校各單位提供虛擬化計算和存儲資源[2]。然而，這種通過分配虛擬服務(wù)器共享硬件資源的方式存在著人工參與工作量大、部署速度慢、資源管理粒度過大等問題，尤其是虛擬服務(wù)器管理權(quán)限分配到用戶后，很難滿足操作系統(tǒng)安全管理、業(yè)務(wù)應(yīng)用快速變更、資源彈性擴(kuò)展等需求。

目前，高校數(shù)據(jù)中心的建設(shè)方向正在朝著云原生標(biāo)準(zhǔn)應(yīng)用的架構(gòu)發(fā)展。容器技術(shù)作為云原生應(yīng)用中最重要的核心技術(shù)[3]，相比傳統(tǒng)的虛擬機(jī)更加輕便快捷，采用容器技術(shù)的數(shù)字化底層計算環(huán)境，既能夠增強(qiáng)其系統(tǒng)整體的安全性，也能讓系統(tǒng)具有更佳的可擴(kuò)展性和移植性，為以后系統(tǒng)功能的添加和數(shù)據(jù)庫的遷移打下良好的基礎(chǔ)。容器可以將數(shù)字校園內(nèi)部系統(tǒng)模塊的環(huán)境變量和配置隱藏起來，也可以把運(yùn)行在一個機(jī)器上眾多隔離的軟件聯(lián)系起來，目前在高校智慧校園建設(shè)中得到日益廣泛的應(yīng)用，但容器本身設(shè)計上存在的安全問題也越發(fā)突出。本文提出通過對容器整體進(jìn)行隔離的設(shè)計思路，使容器無法訪問主機(jī)內(nèi)核和宿主機(jī)文件系統(tǒng)，從而解決容器本身組件存在安全漏洞的問題。

1 容器技術(shù)概述

1.1 云原生技術(shù)

云原生（Cloud Native）是近年來高校數(shù)字化建設(shè)應(yīng)用與研究的熱點(diǎn)。云原生的理念是直接按照云上部署的目標(biāo)去設(shè)計應(yīng)用與服務(wù)架構(gòu)，不再按照傳統(tǒng)應(yīng)用向云端遷移的設(shè)計思想?？梢栽谠朴嬎悱h(huán)境下構(gòu)建與部署大量微服務(wù)應(yīng)用，利用容器實(shí)現(xiàn)對各組件的打包集成，再對容器進(jìn)行動態(tài)調(diào)度，從而實(shí)現(xiàn)云計算整體資源的優(yōu)化配置。因此，云原生技術(shù)架構(gòu)具有敏捷開發(fā)、性能可靠、高彈性、易擴(kuò)展、故障隔離和持續(xù)更新等特性[4]。云原生計算基金會（Cloud Native Computing Foundation, CNCF）定義的云原生技術(shù)集合包括容器、微服務(wù)、服務(wù)網(wǎng)格、不可變基礎(chǔ)設(shè)施與聲明式API[5]。

1.2 容器技術(shù)應(yīng)用

容器技術(shù)是云原生的關(guān)鍵技術(shù)，本質(zhì)上就是將多個軟件應(yīng)用封裝在一個空間中并進(jìn)行隔離，包括軟件的所有的配置信息、軟件的從屬關(guān)系、運(yùn)行環(huán)境、運(yùn)行時的工具及其附件。

在云運(yùn)行的環(huán)境當(dāng)中，每個微服務(wù)應(yīng)用都需要搭建配置信息和購買服務(wù)器節(jié)點(diǎn)等費(fèi)用，使用容器可以節(jié)省大量成本開支和不必要的工作量。容器之中運(yùn)行的不是虛擬機(jī)，能夠具備比虛擬機(jī)更加良好的性能。在現(xiàn)實(shí)應(yīng)用環(huán)境當(dāng)中，容器和微服務(wù)的相互結(jié)合，可以構(gòu)建便捷、可擴(kuò)展和經(jīng)濟(jì)花費(fèi)較小的軟件工具。除了實(shí)現(xiàn)微服務(wù)的隔離之外，容器還可以為云原生的應(yīng)用程序帶來更多的好處，使用容器，可以很便捷地將微服務(wù)程序的所需運(yùn)行環(huán)境、配置信息、環(huán)境變量及其所屬關(guān)系移植到理想的服務(wù)器節(jié)點(diǎn)，而且無需重新去配置和部署環(huán)境，從而具備良好的可移植性。

1.3 容器運(yùn)行時工具runC

容器運(yùn)行時（Container Runtime）從傳統(tǒng)意義上來說就是代表容器從拉取鏡像到啟動運(yùn)行再到中止的整個生命周期。在OCI（Open Container Initiative）標(biāo)準(zhǔn)中，對容器運(yùn)行時提出了兩個規(guī)范，即運(yùn)行時規(guī)范（OCI Runtime Spec）和鏡像規(guī)范（OCI Image Spec）[7]。這兩個規(guī)范允許不同開發(fā)者開發(fā)的容器能夠在異構(gòu)runtime 上運(yùn)行，從而保證了容器的可移植性和互操作性。

Docker公司與CoreOS和Google公司聯(lián)合創(chuàng)建了容器技術(shù)標(biāo)準(zhǔn)化組織OCI（Open Container Initiative）[6]，對容器技術(shù)標(biāo)準(zhǔn)提出了業(yè)界標(biāo)準(zhǔn)定義 。 在這一標(biāo)準(zhǔn)下，工業(yè)界提出了一個創(chuàng)建并運(yùn)行容器的命令行工具runC。這是一個輕量化工具，能夠屏蔽不同系統(tǒng)和版本的差異，使容器操作標(biāo)準(zhǔn)化，可以不用通過Docker引擎，直接運(yùn)行容器。在Docker創(chuàng)建容器的過程中，runC的位置處于容器管理引擎的最底層，直接與操作系統(tǒng) kernel 緊密協(xié)作，為容器提供運(yùn)行環(huán)境。

2 容器應(yīng)用中的安全問題分析

Docker是輕量化的容器，具有輕量、高效和便攜的優(yōu)勢[8]。其輕量性體現(xiàn)在可以通過對宿主機(jī)內(nèi)核的訪問而省去不必要的流程，運(yùn)行速度更快；其高效性體現(xiàn)在容器可以實(shí)現(xiàn)跨平臺的遷移，以及更加快速的部署和實(shí)現(xiàn)；其便攜性體現(xiàn)在創(chuàng)建和刪除容器更加便利，對于功能的更新只需遠(yuǎn)程推送更新而不需要實(shí)地部署。

目前，將校園數(shù)據(jù)中心所部署的系統(tǒng)中各個功能和傳統(tǒng)的容器技術(shù)相結(jié)合，通過對教師、學(xué)生、后勤、科研等各個業(yè)務(wù)信息系統(tǒng)的設(shè)計與重新部署，在原有的基礎(chǔ)上，將各個功能實(shí)現(xiàn)的所有附屬信息全部以微服務(wù)的形式部署在云端的容器之中，對于整個業(yè)務(wù)來說其功能實(shí)現(xiàn)全部都在云上。云的大數(shù)據(jù)容量簡化了系統(tǒng)的擴(kuò)容能力，也為以后系統(tǒng)功能的更新和擴(kuò)展提供了更好的便捷性[9]。為每個業(yè)務(wù)功能設(shè)計其專屬容器，可能會出現(xiàn)功能過多導(dǎo)致的容器數(shù)量增多，這可以通過分級的方式進(jìn)行簡化。相較傳統(tǒng)的虛擬機(jī)模式，在業(yè)務(wù)系統(tǒng)的可擴(kuò)展性上有了很大提升，但其安全問題也不可忽視。

容器有權(quán)限之分，特權(quán)容器的權(quán)限最高，可以執(zhí)行服務(wù)器的任何操作，擁有對客戶端資源的訪問權(quán)限。如果兩個容器之間為了實(shí)現(xiàn)各自目標(biāo)而進(jìn)行關(guān)聯(lián)，但是各自都有權(quán)限等級，就必須滿足最低的要求，只能選擇損失最小的一方進(jìn)行交互[10]。這意味著，如果惡意程序掌握特權(quán)容器的規(guī)則，則它們可能會被破壞。如果幾個不同的容器之間相互進(jìn)行攻擊，共用的內(nèi)核被攻擊，則其他容器也會受到牽連。

出現(xiàn)這些問題的根本原因在于runC組件出現(xiàn)了問題。runC的主要任務(wù)是容器的啟停和資源隔離。因?yàn)閞unC在使用文件系統(tǒng)描述符時存在漏洞，會導(dǎo)致最高權(quán)限容器被抓取，造成容器的逃逸和越權(quán)訪問宿主機(jī)的文件系統(tǒng)。攻擊者可以通過惡意鏡像，或者改變?nèi)萜鬟\(yùn)行時的配置信息來利用其漏洞。

針對runC組件有兩種主要攻擊方式：一種是攻擊者可能會將容器鏡像修改為惡意程序，runC被替換為此惡意程序，宿主機(jī)在執(zhí)行容器命令的時候就會觸發(fā)惡意程序；另一種是攻擊者利用特權(quán)容器，將容器運(yùn)行時的系統(tǒng)文件惡意修改，如果宿主機(jī)在該容器中創(chuàng)建新進(jìn)程，會被攻擊者欺騙從而激活惡意程序，runC可以通過使用自定義帶有惡意程序的二進(jìn)制文件去替換容器內(nèi)新進(jìn)程的二進(jìn)制文件來達(dá)到索引的目地，將runC被替換為此惡意程序，從而執(zhí)行容器運(yùn)行命令導(dǎo)致觸發(fā)惡意程序[11]。

3 容器安全升級措施

傳統(tǒng)的Docker容器設(shè)計如圖1所示，多個容器共享主機(jī)內(nèi)核和硬件資源，對容器之間做了沙箱隔離，只是提升了容器本身的安全性，但容器之間和主機(jī)內(nèi)核還是會因?yàn)閞unC的漏洞而對安全性構(gòu)成威脅。

圖1 Docker容器結(jié)構(gòu)

通過對容器本身安全的分析，對原來的容器的結(jié)構(gòu)進(jìn)行重新的規(guī)劃，改造后的安全容器結(jié)構(gòu)圖如圖2所示，可以通過pod對容器統(tǒng)一管理。一個pod里可以有一個或多個容器，為每個容器創(chuàng)建專屬于它的獨(dú)立虛擬內(nèi)核。該虛擬內(nèi)核只負(fù)責(zé)用來運(yùn)行容器，并不包含整個操作系統(tǒng)環(huán)境。在容器內(nèi)部，其運(yùn)轉(zhuǎn)方式并不像傳統(tǒng)的虛擬機(jī)，相當(dāng)于一個容器內(nèi)核，只是通過占用盡可能少的內(nèi)存空間進(jìn)一步降低內(nèi)存的開銷。每個容器都在各自單獨(dú)的虛擬機(jī)中啟動，不會去訪問主機(jī)內(nèi)核，從而杜絕了通過惡意代碼入侵其他鄰近容器的可能。通過對容器硬件的隔離，限制不受信任的租戶，使其運(yùn)行的應(yīng)用程序和之前刪除的應(yīng)用程序都能被同一個集群安全隔離，不再有污染數(shù)據(jù)的可能性。

圖2 安全容器結(jié)構(gòu)

4 結(jié) 語

本文介紹了校園數(shù)據(jù)中心中常用的Docker容器結(jié)構(gòu)，分析在部署應(yīng)用時由于容器組件存在漏洞所導(dǎo)致的安全問題，提出對容器整體添加隔離層的安全措施，對容器的內(nèi)核和硬件基礎(chǔ)設(shè)施進(jìn)行虛擬化，將很大程度上提升容器本身的隔離性能，從而阻斷發(fā)生容器逃逸和訪問宿主機(jī)文件系統(tǒng)的可能性。