五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

華為云容器安全-容器入侵應(yīng)急響應(yīng)最佳實(shí)踐


容器安全服務(wù)能夠掃描鏡像中的漏洞與配置信息,幫助企業(yè)解決傳統(tǒng)安全軟件無法感知容器環(huán)境的問題;同時(shí)提供容器進(jìn)程白名單、文件只讀保護(hù)和容器逃逸檢測功能,有效防止容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)事件的發(fā)生。


容器運(yùn)行時(shí)安全

● 通常容器的行為是固定不變的,容器安全服務(wù)幫助企業(yè)制定容器行為的白名單,確保容器以最小權(quán)限運(yùn)行,有效阻止容器安全風(fēng)險(xiǎn)事件的發(fā)生。


容器運(yùn)行時(shí)安全功能對運(yùn)行中的容器進(jìn)行實(shí)時(shí)的逃逸檢測、高危系統(tǒng)調(diào)用檢測、異常進(jìn)程檢測、文件異常檢測以及容器環(huán)境檢測。在開啟告警通知后,當(dāng)CGS監(jiān)測到異常事件時(shí),您可收到CGS發(fā)送的告警通知郵件和短信。

本文介紹容器被入侵時(shí)和入侵后的應(yīng)急響應(yīng)。

背景信息

隨著云原生的發(fā)展,容器使用場景越來越廣泛,越來越多的企業(yè)選擇容器來部署自己的應(yīng)用。而針對容器的攻擊事件頻發(fā),造成的破壞也日益嚴(yán)重。容器被入侵時(shí),正常情況下黑客只能破壞容器自身,對其它容器和整個業(yè)務(wù)系統(tǒng)不容易造成整體的破壞。但是由于容器底層使用了共享操作系統(tǒng)內(nèi)核、共享存儲等技術(shù)方案,黑客有可能利用漏洞實(shí)現(xiàn)容器逃逸,進(jìn)一步攻擊主機(jī)操作系統(tǒng),竊取數(shù)據(jù)、服務(wù)器受控等。因此,一旦確認(rèn)容器被黑客成功入侵,需要立即處理,避免資產(chǎn)遭受重大損失。

容器入侵應(yīng)急響應(yīng)

1、登錄管理控制臺。在頁面上方選擇“區(qū)域”后,單擊,選擇“安全與合規(guī) > 容器安全服務(wù)”,進(jìn)入“防護(hù)列表”界面。

2、在左側(cè)導(dǎo)航樹中,選擇“運(yùn)行時(shí)安全”,進(jìn)入“運(yùn)行時(shí)安全”界面。

3、獲取入侵程序的容器實(shí)例名稱和節(jié)點(diǎn)名稱。

根據(jù)告警通知信息,選擇不同頁簽(“逃逸檢測”、“高危系統(tǒng)調(diào)用”、“異常程序檢測”、“文件異常檢測”、“容器環(huán)境檢測”),在異常事件列表中,獲取入侵程序的容器實(shí)例名稱和節(jié)點(diǎn)名稱。

4、斷開容器外網(wǎng)鏈接。

以彈性負(fù)載均衡(ELB)為例,配置訪問控制策略,允許特定IP訪問,使其它IP不允許訪問容器。

a.在頁面的左側(cè)導(dǎo)航樹中,單擊,選擇“網(wǎng)絡(luò) > 彈性負(fù)載均衡”,進(jìn)入“負(fù)載均衡器”界面。

b.找到容器使用的ELB實(shí)例。

c.單擊實(shí)例名稱,進(jìn)入詳情頁面,選擇“監(jiān)聽器”頁簽。

d.在監(jiān)聽器基本信息頁面,單擊“設(shè)置訪問控制”。

e.在彈出的“設(shè)置訪問控制”彈框中,配置白名單IP地址。

● 訪問策略:白名單。

● IP地址組:允許特定IP訪問的IP地址組。

● 訪問控制開關(guān):開啟。

f.單擊“確定”。

5、中斷目標(biāo)容器運(yùn)行。

以彈性云服務(wù)器控制臺遠(yuǎn)程登錄入侵節(jié)點(diǎn)為例,中斷目標(biāo)容器運(yùn)行。

a.在左側(cè)導(dǎo)航樹中,選擇“彈性云服務(wù)器”,進(jìn)入“彈性云服務(wù)器”界面。

b.在需要遠(yuǎn)程登錄入侵節(jié)點(diǎn)的操作列,單擊“遠(yuǎn)程登錄”,登錄節(jié)點(diǎn)。

若無法登錄到服務(wù)器,請參見無法登錄到Linux云服務(wù)器怎么辦進(jìn)行排查。

c.執(zhí)行以下命令,獲取目標(biāo)容器ID號。

docker ps|grep 容器實(shí)例名稱

d.執(zhí)行以下命令,暫停掛起目標(biāo)容器。

docker pause 容器ID號

6、保留入侵痕跡。

a.執(zhí)行以下命令,導(dǎo)出鏡像。

docker save ID號 -o 鏡像文件名.tar

b.(可選)執(zhí)行以下命令,導(dǎo)出配置。

docker inspect ID號 > 配置文件名.json

7、溯源分析。

a.在其他節(jié)點(diǎn)上導(dǎo)入7.a導(dǎo)出的鏡像,并執(zhí)行以下命令。

docker load - 鏡像文件名.tar

b.使用導(dǎo)入的鏡像啟動新容器。

啟動執(zhí)行命令:

docker run -d -it --name 容器名稱 鏡像ID /bin/bash

c.聯(lián)系技術(shù)支持,進(jìn)入容器查詢系統(tǒng)日志、搜索惡意文件等定位入侵原因和制定應(yīng)急決策。

容器安全常見問題

容器安全描常見問題

  • 鏡像、容器、應(yīng)用的關(guān)系是什么?

    ● 鏡像是一個特殊的文件系統(tǒng),除了提供容器運(yùn)行時(shí)所需的程序、庫、資源、配置等文件外,還包含了一些為運(yùn)行時(shí)準(zhǔn)備的配置參數(shù)(如匿名卷、環(huán)境變量、用戶等)。鏡像不包含任何動態(tài)數(shù)據(jù),其內(nèi)容在構(gòu)建之后也不會被改變。

    ● 容器和鏡像的關(guān)系,像程序設(shè)計(jì)中的實(shí)例和類一樣,鏡像是靜態(tài)的定義,容器是鏡像運(yùn)行時(shí)的實(shí)體。容器可以被創(chuàng)建、啟動、停止、刪除、暫停等。

    ● 一個鏡像可以啟動多個容器。

    ● 應(yīng)用可以包含一個或一組容器。

  • 無服務(wù)授權(quán)權(quán)限和創(chuàng)建委托失敗的原因?

    ?IAM用戶進(jìn)入容器安全服務(wù)控制臺界面時(shí),發(fā)現(xiàn)服務(wù)授權(quán)頁面“同意授權(quán)”按鈕呈灰色狀態(tài),表示該IAM用戶無服務(wù)授權(quán)權(quán)限,請聯(lián)系擁有Security Administrator權(quán)限的系統(tǒng)管理員授予權(quán)限或使用帳號開通服務(wù)授權(quán)。

    創(chuàng)建委托失敗的原因:賬戶委托數(shù)量滿額。

    處理方式:登錄到“統(tǒng)一身份認(rèn)證服務(wù)”管理控制臺,對委托進(jìn)行刪除或聯(lián)系統(tǒng)一身份認(rèn)證服務(wù)增加限額。

  • 容器安全服務(wù)的漏洞庫多久更新一次?

    ?容器安全服務(wù)實(shí)時(shí)獲取官方發(fā)布的漏洞信息,每天凌晨將漏洞更新至漏洞庫中并執(zhí)行全面的漏洞掃描和給出解決方案。您可根據(jù)自身業(yè)務(wù)情況進(jìn)行修復(fù)或調(diào)整有風(fēng)險(xiǎn)的鏡像。

  • 容器安全服務(wù)支持多個帳號共享使用嗎?

    ?容器安全服務(wù)不支持多個帳號共享使用。例如,如果您在某個區(qū)域通過注冊華為云創(chuàng)建了2個帳號(“domain1”和“domain2”),當(dāng)您在“domain1”帳號下購買了容器安全服務(wù),則“domain2”帳號不能使用“domain1”的容器安全服務(wù)。

    在同一區(qū)域,一個帳號在IAM上創(chuàng)建的所有IAM用戶都可以共用該帳號下的容器安全服務(wù)。例如,您在某個區(qū)域通過注冊華為云創(chuàng)建了1個帳號(“domain1”),且“domain1”帳號在IAM中創(chuàng)建了2個IAM用戶(“sub-user01”、“sub-user02”),如果您授權(quán)了“sub-user01”和“sub-user02”用戶CGS的權(quán)限策略,則這2個IAM用戶都可以使用“domain1”的容器安全服務(wù)。