项目案例
Project case

容器云平台安全解决方案

日期: 2018-03-03
浏览次数: 195

1、合规性隐患:


Docker作为一款轻量级的容器引擎,最大的特点就是打通了原有的开发—测试—上线流程。


原有的系统中开发、测试和生产分别处在相对独立的环境中,在各个系统中相互传递的只有软件本身。而Docker技术引进之后,

在三个环境中传递的不仅仅是软件,还包括了底层的操作系统。而往往开发和测试环境中对操作系统的安全性是没有任何规范和

审计的。这就导致了开发人员随便用了一个他惯用或网上下载的Linux系统进行开发,开发完成后把软件连同Linux操作系统一起

发给了测试人员,而测试人员也只负责测试软件的功能性,并不会对底层的Linux进行排查。测试通过,连同软件和Linux一起发

给生产部门上线。往往上线之后才发现,开发时使用的Linux系统会存在非常多的漏洞隐患,或是被预装了病毒软件(染毒系统),

此时再进行亡羊补牢不仅会增加工作量,还会给整个生产环境带来非常大的隐患。


Aqua对整个容器平台中的image进行统一管理,在Linux系统被加载到容器云平台之前就对该Linux系统的漏洞及合法性进行扫描,

如果漏洞威胁过高或有严重的系统漏洞危险软件等,则禁止该Linux系统在容器平台中被加载。从根源上杜绝容器云平台中出现的

高危系统。


Aqua对image的管理方式有非常多的方法,并且Aqua可以自动同步CVE系统,实时更新最新的系统漏洞情况,并对现有系统中的

Linux系统进行扫描。在无法连接Internet的系统中,也可以通过手动更新的方式来进行CVE库的更新。


2、容器间安全隐患


1)传统系统中,每一台主机是一个节点,主机与主机之间相互通信可以很容易被网络中的安全设备所管理。但是容器环境下,一台物

理主机(DockerHost)可能会运行非常多的容器,并且这些容器可能分属不同的系统,他们之间相互通信在一台物理主机中就可以

完成,传统的安全策略根本无法进行管理。


2)容器云平台的调度策略是非常多的,由于容器创建和迁移非常迅速,导致整个系统在容器编排工具的作用下时刻都在改变着。传统

的安全策略全部是依赖于IP的方式来定义,但是容器环境下一个应用的IP地址可能会随时变化,由此传统的安全设备不得不以一个宽

泛的IP地址段来进行策略管理,由此会导致安全规则形同虚设。


3)传统的流量分析展示软件,都是依靠网络镜像方式来进行审计,容器云部署之后,大量的数据交互直接在一台物理服务器内完成,

并没有通过网络进行传输,所以传统的APM等分析软件无法准确获取整个系统的流量信息。


Aqua的防火墙模块,可以对一台主机内部的容器之间通信进行细致管理,并且策略制定可以依照服务来执行。例如:A业务只允许B

业务进行访问,C业务不允许访问,在Aqua中,我们只需要定义好A/B/C业务,再依照业务组来配置策略。无论A/B/C业务主机IP地

是什么、或是否在一台物理主机之中,Aqua都可以进行管理。同时,Aqua可以对整个容器云平台中的数据访问情况进行统计和展示。


3、账号密码管理:


容器云平台中,对于一个系统的镜像文件,通常的密码全部都是明文部署的,这样会导致整个流程中的所有相关人员都可以获取到最终

生产环境的镜像容器的账号和密码,这样的环境会对系统账号密码管理带来极大的隐患。


Aqua的镜像密码管理系统,可以用字符串替代真正的密码,在从开发到生产中的所有环节中,查看到的用户名和密码全部是替代后的字

符串。例如:A系统用户名为admin密码为Admin,通过Aqua把用户名替换为usernameA,密码为passwordA,只有真正有权限的人

能知道该系统的真正用户名和密码(admin/Admin),而其余人看到的都是替代的字符串,同时Aqua也支持用户名和密码的后台修改。


4、防攻击保护:


此外,Aqua还有很多的runtime保护机制:

对于可执行命令的管理:Aqua可以根据系统运行过程中自动学习常用的命令,可以通过白名单模式只允许对常用命令进行操作。除白名单之

外任何Linux命令全部禁止执行,即使Root用户也不可以,彻底杜绝渗透式攻击。


对于软件管理:Aqua可以对Linux系统中的软件进行管理和限制,禁止Linux系统运行非授权的软件,或是要求Linux系统必须安装某些特定

软件才可以运行。黑客通过病毒、木马等软件程序对系统进行入侵。


关键文件保护:Aqua可以对Linux系统内的关键性文件和目录进行保护,禁止任何方式对受保护文件/目录进行修改,即是获得root权限用户

也不行。


容器内最大进程数管理:容器云中弹性扩展是比较重要的一个特点,当一个容器的进程过高时,容器调度平台或扩展新的容器来适应压力增长

由此容器云平台有了一种新型的攻击手段,利用某一个容器的不断扩张,消耗掉整个容器平台的系统资源。Aqua可以对容器的内的最大进程数

进行保护,避免Fork Bomb等类型的拒绝服务攻击。


提权攻击防护:在Docker容器环境中,容器宿主机(Docker Host)和Docker容器中的root用户是不隔离的,这是Docker天然的一个漏洞。

通常在部署Docker容器时,都会避免使用root用户来创建,但是Linux中有很多提权和渗透的方法,可以通过某一个Docker容器中的非root

用户,去获取整个Docker宿主机的root用户权限。Aqua可以有效的防护此类提权攻击的方法,并且可以确保Docker容器不能以root用户来

进行创建。


角色分级管理:对于不同的用户Aqua可以规定不同的权限等级,不同的用户组可以对docker容器进行不同的操作。


5、系统安全审计及报告:


Aqua提供了非常多的报表和展示窗口,包括整个云平台的合规性报告、CIS报告及建议、系统流量展示等汇报。


6、总结:


Aqua不仅仅是一个安全产品,其核心是Docker容器云平台的一套合规性流程。从开发、上线直到运维,每一个步骤可以制定好规范。在整个

Docker容器云平台中的所有参与者的行为全部进行规定,从根源上杜绝了来自外部已经内部的安全威胁。同时,可以帮助容器云平台达到国

家信息安全等级保护的要求。


Case / 相关案例
2018 - 03 - 02
智慧党建云平台建设方案1、建设目标2、功能规划3、从严教育4、从严管理5、移动平台查看详细文档:6365561010847494577672635.pptx
2018 - 03 - 03
1、合规性隐患:Docker作为一款轻量级的容器引擎,最大的特点就是打通了原有的开发—测试—上线流程。原有的系统中开发、测试和生产分别处在相对独立的环境中,在各个系统中相互传递的只有软件本身。而Docker技术引进之后,在三个环境中传递的不仅仅是软件,还包括了底层的操作系统。而往往开发和测试环境中对操作系统的安全性是没有任何规范和审计的。这就导致了开发人员随便用了一个他惯用或网上下载的Linux系...
2018 - 03 - 08
无线云平台解决方案Ruckus  Solution无线用户的烦恼WiFi信号差,网络性能差,增加AP?Wifi信号差,但是新增加ap点位很难,客户担心对现有装修造成影响WiFi信号好,网络性能也差,怎么办?Wifi信号好,但是连接不稳定,类似仓库等地,使用条码枪(udp),扫码不畅Wifi信号好,但是无法加入该SSIDWifi信号好,能加入,但是加入后,热点一直在转独一无二的智能天线技术...
2018 - 02 - 04
1 用户需求根据百盛无线网建设系统建设要求,无线局域网系统建设原则如下:1、充分利用现有网络结构与资源,并且不改变原有网络结构以及交换机配置。2、采用集中控管的组网方式,集中控制管理所有的AP。3、AP 的供电可以不单独拉线,采用POE 供电的方式。4、采用先进的WLAN 网管系统管理局域网。5、充分考虑WLAN 的安全性,加入第三方portal 安全认证。6、商场提供顾客无线上网服务,实施精细化...
helpline
服务热线:
400-838-0881
友情链接:
Copyright ©2018 思路讯北京网络技术
犀牛云提供企业云服务