摘要：容器網(wǎng)絡(luò)安全存在如進(jìn)行容積安全隔離時數(shù)據(jù)效率低下、網(wǎng)絡(luò)復(fù)雜度高、硬件設(shè)備的傳輸壓力大、流量管控不平衡、挖礦類病毒肆虐、受到IP地址假冒攻擊等難題。文章結(jié)合容器應(yīng)用的安全需求，通過進(jìn)行細(xì)致化的容器分段，對不同狀態(tài)應(yīng)用進(jìn)行統(tǒng)一化的安全集中管理和控制，精細(xì)化管控容器流量控制、容器的網(wǎng)絡(luò)訪問控制，以容器的IP假冒地址攻擊和挖礦病毒的運(yùn)行原理為基礎(chǔ)，采取針對性的解決措施，確保主機(jī)業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行權(quán)限。

關(guān)鍵詞：容器安全；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)體系

中圖分類號： TP393

文獻(xiàn)標(biāo)志碼： A

0 引言

隨著信息技術(shù)的迅速發(fā)展，容器網(wǎng)絡(luò)安全問題也成為重中之重。在實際的使用過程中，不同的業(yè)務(wù)會根據(jù)自身的業(yè)務(wù)需求提供一套獨(dú)立的配置方案，但在沒有有效的審計管控時，增加配置只會使內(nèi)部環(huán)境更復(fù)雜，增加容器的安全風(fēng)險。所以容器集群技術(shù)的供應(yīng)商必須結(jié)合國家的有關(guān)規(guī)定將存在的安全事件信息和安全威脅信息全部及時供應(yīng)給客戶群體，及時評估安全風(fēng)險，尋求針對性的解決措施，對安全風(fēng)險進(jìn)行科學(xué)合理管控。

1 容器網(wǎng)絡(luò)安全困境分析

1.1 容器安全分級管控和安全隔離中存在的問題

業(yè)務(wù)微服務(wù)化拆分后，內(nèi)部的東西向流量會加速放大，在這一過程中要考慮到東西向容器的安全分級管控和安全隔離^［1］。目前的容器安全隔離都停留在硬件設(shè)備上，集群中不同業(yè)務(wù)的容器若要進(jìn)行分級安全管理與控制和安全隔離，就必須要通過硬件設(shè)備交換東西向流量，流量在穿過硬件設(shè)備進(jìn)行隔離的過程中，網(wǎng)絡(luò)的復(fù)雜度會有所增加，數(shù)據(jù)傳輸效率降低，硬件設(shè)備的傳輸率壓力增大。

1.2 流量管理中存在的問題

進(jìn)行網(wǎng)絡(luò)安全分級管理和安全隔離會導(dǎo)致硬件服務(wù)器和CPU內(nèi)存配置迅速增加。在業(yè)務(wù)激增的情況下，物理服務(wù)器需要承擔(dān)更多的容器數(shù)量，但物理服務(wù)器的業(yè)務(wù)網(wǎng)卡總數(shù)量和吞吐數(shù)量是有限的。若容器中有占用過高的服務(wù)、寬帶的，其他容器獲得的寬帶資源必然減少。容器的吞吐受到限制，反應(yīng)時間會拉長。目前，針對解決關(guān)鍵帶寬資源預(yù)留和限制問題上還沒有精細(xì)化的管理手段，容器設(shè)置網(wǎng)絡(luò)的流量和寬帶的管理有待進(jìn)一步精細(xì)化。

1.3 挖礦類病毒肆虐帶來的危害

在運(yùn)行的過程中，若受到挖礦病毒的侵蝕，多個不同版本的軟件必然受到影響，一旦容器挖礦病毒滲透到網(wǎng)絡(luò)內(nèi)部環(huán)境，會深入嗅探和傳染病毒。通常情況下，遇到這一類問題時，會通過升級來解決某一個軟件版本的漏洞或者直接刪除感染內(nèi)部環(huán)境的木馬程序。這只能發(fā)現(xiàn)一次，解決一次。目前，還沒有一蹴而就的方法，往往隨著軟件的升級和調(diào)整，還會出現(xiàn)新的漏洞，木馬也可能會出現(xiàn)變異種，會影響容器的正常運(yùn)行，需要進(jìn)一步尋找有效的解決措施，避免挖礦類病毒的肆虐。

1.4 容器的IP地址假冒攻擊引發(fā)的難題

容器數(shù)量的增多會進(jìn)一步增加容器暴露的風(fēng)險，但在容器平臺中，通常不可能只有少數(shù)幾個容器。一個容器受到攻擊時可能會導(dǎo)致整個容器平臺受到牽連，嗅探內(nèi)部存在漏洞，嘗試修改IP，對物理機(jī)內(nèi)部進(jìn)行探測和破壞。IP地址的假冒攻擊一旦成功，可以通過攻破一個容器獲取整個主機(jī)的管理權(quán)限。整個網(wǎng)絡(luò)內(nèi)部環(huán)境都將完全暴露在風(fēng)險內(nèi)^［2］。如何防御容器的IP地址假冒攻擊一直以來都是重要的課題。

2 容器網(wǎng)絡(luò)安全困境的解決思路和對策

雖然目前已經(jīng)有非常多種類型的容器網(wǎng)絡(luò)工具，但依舊缺乏功能齊全、安全性能高、運(yùn)營維護(hù)方便的網(wǎng)絡(luò)工具。故需要結(jié)合容器網(wǎng)絡(luò)存在的困境，針對性地尋找解決思路和對策，提升網(wǎng)絡(luò)的安全性。

2.1 容器的安全隔離

首先，通過創(chuàng)建命令，自動分配獨(dú)立的路由器和地址段，結(jié)合容器應(yīng)用的安全需求，建立單個pod的或一組pod的網(wǎng)絡(luò)微分段。其次，控制業(yè)務(wù)網(wǎng)絡(luò)路由策略，將不同業(yè)務(wù)的容器按照標(biāo)簽歸類到相應(yīng)的類別中，進(jìn)行細(xì)致化的容器分段。最后，要結(jié)合容器微分段制定安全準(zhǔn)則，根據(jù)制定的目標(biāo)、服務(wù)類別、動作、實施范圍和指定源，對容器網(wǎng)絡(luò)的流量端口進(jìn)行精細(xì)化管理，制定高級策略^［3］?？梢蕴崆爸贫ㄔL問規(guī)則或者也可以根據(jù)實際需求實時創(chuàng)建命令，滿足應(yīng)用需求，就可以消除安全等級管理和安全隔離中存在的屏蔽流量對網(wǎng)絡(luò)安全造成的負(fù)面影響，解決數(shù)據(jù)傳輸和交換效率低下的問題，在物理機(jī)的網(wǎng)卡層面對流量管理進(jìn)行控制，開展不同狀態(tài)應(yīng)用的統(tǒng)一化安全集中管理和控制。

2.2 精細(xì)化控制容器流量

根據(jù)每個業(yè)務(wù)的需求，基于每個pod的端口將流量限制在入站或出站端口，確保不同應(yīng)用程序的訪問服務(wù)質(zhì)量保持在同一水平。同時，還可以限制每個端口的廣播入口流量，并根據(jù)需求設(shè)置每個pod端口的值。這確保即使在業(yè)務(wù)激增或其他異常情況下，不同應(yīng)用程序獲得的端口流量也可以得到有效控制。如果容器的默認(rèn)橋接模式不控制或限制網(wǎng)絡(luò)流量，為避免潛在的網(wǎng)絡(luò)攻擊風(fēng)險，有必要根據(jù)實際需要相應(yīng)地配置網(wǎng)絡(luò)流量。在主機(jī)中的所有容器不需要在第三層或第四層進(jìn)行網(wǎng)絡(luò)通信的情況下，可以將容器參數(shù)配置為禁止容器之間的通信。在具有多個租戶的容器云環(huán)境中，可能存在單個容器占用主機(jī)的大量物理網(wǎng)卡并搶占其他容器帶寬的情況。為了確保容器之間的正常通信，避免異常流量導(dǎo)致的網(wǎng)絡(luò)DoS攻擊等后果，有必要對容器之間的通信流量施加一定的限制。由于容器通過創(chuàng)建虛擬網(wǎng)卡連接到虛擬網(wǎng)橋，并且容器之間的通信需要虛擬網(wǎng)卡對和網(wǎng)橋連接，因此可以使用流量控制器模塊來限制容器網(wǎng)絡(luò)的流量。流量控制器的原理是建立分組隊列并制定發(fā)送規(guī)則，以實現(xiàn)流量限制和調(diào)度功能。為了在一定程度上減輕容器之間DoS攻擊的危害，可以將流量控制器的dev設(shè)置為連接到主機(jī)中每個容器的虛擬網(wǎng)卡，以限制主機(jī)上容器之間的流量。

2.3 容器的網(wǎng)絡(luò)訪問控制

在網(wǎng)橋連接模式下，連接到同一網(wǎng)橋的兩個容器可以直接訪問彼此。因此，為了實現(xiàn)網(wǎng)絡(luò)訪問控制，可以根據(jù)需要配置網(wǎng)絡(luò)訪問控制機(jī)制和策略。如果通過容器創(chuàng)建不同的橋接網(wǎng)絡(luò)，為了實現(xiàn)容器之間的網(wǎng)絡(luò)隔離，可以將容器放置在不同的橋接網(wǎng)中。當(dāng)使用命令在容器中創(chuàng)建新的橋接網(wǎng)絡(luò)時，iptables中的配置丟棄規(guī)則會阻止與其他網(wǎng)絡(luò)的通信流量，從而實現(xiàn)容器網(wǎng)絡(luò)之間的隔離。此外，可以配置基于白名單策略的網(wǎng)絡(luò)訪問控制。為了確保容器之間的網(wǎng)絡(luò)安全，默認(rèn)情況下可以禁用容器之間的通信，并根據(jù)需要設(shè)置網(wǎng)絡(luò)訪問控制規(guī)則。具體來說，在同一個虛擬網(wǎng)絡(luò)中，不同容器之間的網(wǎng)絡(luò)訪問可以通過iptables來控制，例如：iptables的FORWARD鏈策略默認(rèn)為所有丟棄。此時，可以使用白名單策略來實現(xiàn)網(wǎng)絡(luò)訪問控制，這意味著根據(jù)實際需要在iptables中添加訪問控制策略，以最大限度地減少攻擊面。在集群模式下，不同的租戶可以通過VLAN與已建立的虛擬化集群隔離，以進(jìn)行子網(wǎng)隔離。在默認(rèn)情況下，基于Overlay網(wǎng)絡(luò)的容器集群可以在同一主機(jī)內(nèi)同一子網(wǎng)中的不同容器之間直接訪問。要控制從主機(jī)的外部到內(nèi)部容器應(yīng)用程序的訪問，可以在主機(jī)的iptables中手動將ACL訪問控制規(guī)則添加到DOCKER-INGRESS鏈，以控制主機(jī)的eth0對容器的訪問，或者在主機(jī)外部部署防火墻或其他方法。然而，在大型容器云環(huán)境中，由于微服務(wù)的頻繁動態(tài)變化和更新，手動配置iptables或更新防火墻是難以實現(xiàn)的。因此，容器云環(huán)境中的容器防火墻可以通過不同的分段來實現(xiàn)。差分分段是一種細(xì)粒度的網(wǎng)絡(luò)分割和隔離機(jī)制。與傳統(tǒng)的基于網(wǎng)絡(luò)地址的網(wǎng)絡(luò)分割機(jī)制不同，差分段可以在單個容器、相同網(wǎng)段容器和容器應(yīng)用程序的粒度上實現(xiàn)分割和隔離，并通過容器防火墻實現(xiàn)差分段之間的網(wǎng)絡(luò)訪問控制，也可利用基于強(qiáng)制訪問控制的機(jī)制，在容器應(yīng)用程序環(huán)境中，用來限制容器對資源的訪問。Linux內(nèi)核的強(qiáng)制訪問控制機(jī)制包括SELinux、AppArmor和其他機(jī)制，如SELinux和AppArmor機(jī)制都可以使經(jīng)典的shocker.c程序失效，使其無法逃逸出容器實現(xiàn)對宿主機(jī)資源的訪問。

2.4 容器的IP地址假冒攻擊防范措施

受到網(wǎng)絡(luò)攻擊是不可避免的，網(wǎng)絡(luò)攻擊會導(dǎo)致容器的安全系數(shù)直線下降。在通常情況下，人們都會非常注重容器網(wǎng)絡(luò)安全攻擊問題，避免非核心業(yè)務(wù)人員攻破容器。在研究容器的IP地址假冒攻擊的防范措施時，研究人員嘗試了各種方法來抵御攻擊，尋找防御措施。網(wǎng)絡(luò)攻擊者會通過嘗試更改IP地址等攻擊行為突破防御措施。故要維護(hù)容器名稱和IP地址，并使用Spoofguard等功能的引用表來防止IP欺騙。在容器的初始啟動過程中，對每個容器的IP地址都要進(jìn)行一次檢索，防止未知或虛擬的假冒IP發(fā)送或接受流量，對容器網(wǎng)絡(luò)的整體安全性發(fā)出挑戰(zhàn)。

2.5 容器挖礦病毒處理措施

容器挖掘病毒利用應(yīng)用內(nèi)部漏洞對網(wǎng)絡(luò)內(nèi)部環(huán)境發(fā)起攻擊。挖礦程序一旦獲得root權(quán)限，會通過植入挖掘木馬消耗CPU或CPU資源進(jìn)行挖礦，并會隨著掃描特定的端口獲取可通信的服務(wù)器進(jìn)行木馬傳染。容器挖礦病毒的處理措施要以挖礦病毒的基本原理為基礎(chǔ)，逐一攻克容器環(huán)境中存在的安全隱患，對整體環(huán)境進(jìn)行加固處理。

首先，要屏蔽常見的針對容器集群的挖礦網(wǎng)站服務(wù)器地址列表，確保挖礦網(wǎng)站的服務(wù)器地址無法在容器集群內(nèi)運(yùn)行。其次，限定IP范圍和可連接的服務(wù)器，確保只有指定的地址才能夠?qū)θ萜鬟M(jìn)行訪問，無論應(yīng)用的數(shù)量如何增加都可以通過特定限制來減少對外的暴露。再次，封堵所有存在高風(fēng)險因素的容器集群端口。最后，嚴(yán)格篩查同業(yè)務(wù)領(lǐng)域和不同業(yè)務(wù)領(lǐng)域容器之間的訪問情況，制定嚴(yán)格的同業(yè)務(wù)及不同業(yè)務(wù)的容器訪問規(guī)則。若出現(xiàn)不按照容器訪問規(guī)則實施的情況可直接加以限制，確保只有特定的IP地址和特定的端口才能夠進(jìn)行訪問。

綜上所述，想要防止容器受到網(wǎng)絡(luò)攻擊，就必須要限制訪問，進(jìn)行微分段安全隔離，嚴(yán)格管控端口和流量，實時掃描篩查容器網(wǎng)絡(luò)內(nèi)部的木馬、病毒和程序，通過禁止容器的假冒IP地址來解決挖礦病毒網(wǎng)絡(luò)對容器網(wǎng)絡(luò)內(nèi)部環(huán)境造成的安全隱患。宿主的權(quán)限被剝奪并更新了信息，假冒新主機(jī)對容器內(nèi)部進(jìn)行攻擊也可以通過上述方法進(jìn)行解決?？偠灾褪遣荒茏屍渌刂帆@取業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行權(quán)限。

3 結(jié)語

容器網(wǎng)絡(luò)安全問題中暴露過多，出現(xiàn)bug和漏洞等話題一直為領(lǐng)域內(nèi)熱議。在不同的操作環(huán)境下，每個容器仍共享內(nèi)核，若沒有安全的邊界，對租戶進(jìn)行級別隔離，必然有安全隱患。通常情況下，挖礦程序或其他木馬病毒一旦攻破某一個應(yīng)用，會連帶著滲透數(shù)據(jù)中心，造成業(yè)務(wù)停滯，所帶來的負(fù)面影響極嚴(yán)重。故必須深入分析容器安全問題，找到針對性的解決對策，促進(jìn)我國電信運(yùn)營和5 G業(yè)務(wù)的發(fā)展，為顧客提供快捷、穩(wěn)定、安全的網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)

［1］胡俊，李漫.容器安全解決方案探討與研究［J］.網(wǎng)絡(luò)空間安全，2018（12）：102-103.

［2］宋漢松.容器網(wǎng)絡(luò)技術(shù)研究與前景展望［J］.金融電子化，2019（12）：94-96.

［3］何莉，孫雅妮，王海沛.“云化”新技術(shù)時代下的容器技術(shù)應(yīng)用研究［J］.電腦知識與技術(shù)，2021（22）：19-21.

（編輯 王永超）

Container-based network security analysis

Zhao Chengbi

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： Difficulties in container network security include low data efficiency during volume security isolation， high network complexity， heavy transmission pressure on hardware devices， unbalanced traffic control， rampant mining viruses， and attacks by IP address spoofing， etc. In combination with the security requirements of container applications， detailed container segmentation should be carried out. With unified security and centralized management and control of applications in different states， fine-grained control of container traffic， network access control for containers，and the operation principle of counterfeit IP address attacks and mining viruses based on this， the paper takes targeted solutions to ensure the operation authority of the host business network.

Key words： container security; network security; network system