核心網(wǎng)系統(tǒng)架構師 楊春建
容器面臨的安全威脅
垂直行業(yè)需求千差萬別,提供低成本、快速適應行業(yè)需求的創(chuàng)新方案成為5G成功商用的關鍵。
容器作為NFV轉(zhuǎn)型的最佳載體,成為創(chuàng)新發(fā)展的助燃劑,基于容器的云原生應用將成為CT應用的趨勢。然而,容器在使用過程中面臨著諸多安全威脅:
● 鏡像文件安全威脅
容器鏡像的安全將影響到整個容器安全:鏡像軟件可能存在漏洞;鏡像倉庫訪問控制不善,鏡像可能被篡改,鏡像文件完整性被破壞,惡意鏡像文件或配置被植入后門和木馬。
● 容器自身的安全威脅
多個應用共享容器資源,攻擊者可利用容器攻擊主機或其他容器;在容器生命周期內(nèi),容器運行時面臨文件系統(tǒng)威脅、DDoS攻擊、容器逃逸等威脅;容器刪除后,存在剩余信息未及時消除、計算及網(wǎng)絡資源未及時釋放等威脅。
● 容器網(wǎng)絡安全威脅
SDN/NFV電信網(wǎng)絡場景下,需要部署多個虛擬網(wǎng)絡平面并實現(xiàn)網(wǎng)絡流量隔離,否則控制面、信令面和管理面間流量互相影響,無法保障業(yè)務安全。
● 容器數(shù)據(jù)安全威脅
容器對于無狀態(tài)和有狀態(tài)的應用程序都是有用的。保護的存儲安全是確保有狀態(tài)服務安全的關鍵要素,否則嚴重影響業(yè)務連續(xù)性。
● 容器主機安全威脅
攻擊者可利用操作系統(tǒng)和其他網(wǎng)絡組件的安全漏洞實施攻擊;利用共享內(nèi)核程序非法監(jiān)控所有進程;篡改主機操作系統(tǒng)文件,通過主機對容器進行攻擊、非法操作容器、竊取敏感數(shù)據(jù)信息。
● 容器訪問安全威脅
容器開放一系列用戶接口和API編程接口,接口容易被意外和惡意接入;同時接口可能被利用,來開發(fā)出更有價值的服務,引入更復雜的API,安全威脅也會相應增加。
● 容器編排安全威脅
容器編排負責管理整個容器的生命周期,惡意管理員可能越權或非授權管理資源、數(shù)據(jù),就會存在系統(tǒng)異常、系統(tǒng)被篡改、VNF敏感信息泄露等威脅。
安全是容器的基本需求之一,應采用有效的安全舉措消除系統(tǒng)安全風險,保障容器化應用的安全運行。
中興通訊容器安全解決方案
針對容器安全風險,中興通訊提出多維度容器安全解決方案,該方案基于物理基礎設施安全、容器自身安全、鏡像安全、訪問安全、安全運維、數(shù)據(jù)安全等角度,利用多個安全組件,有效實現(xiàn)容器安全威脅的防御。
圖1:容器安全框架
● 鏡像安全
中興通訊容器管理平臺集成了Clair和Anchore等容器安全工具,可實時對容器鏡像進行深度掃描,提取每層鏡像文件進行特征與CVE漏洞庫進行比對分析;同時對鏡像進行整體數(shù)字簽名,根據(jù)鏡像標簽發(fā)布,對鏡像每層文件進行Hash完整性校驗,防止被篡改;對鏡像倉庫訪問雙向認證,并采用安全協(xié)議進行傳輸保護,實現(xiàn)對鏡像全流程安全防護,保證運行安全。
● 資源隔離
在操作系統(tǒng)、容器、VNF/APP部署時,可以根據(jù)防護安全策略自動配置安全隔離方式。在主機側(cè),操作系統(tǒng)啟動強制訪問控制SELinux,配置每個程序級別的訪問控制,定義合適訪問策略;啟用CPU親和機制,保證CPU緩存數(shù)據(jù)無法被利用;在容器內(nèi),通過Namespace、Control Groups構建應用沙箱實現(xiàn)隔離與資源SLA限制;根據(jù)VNF需求開放特定的能力,限制容器進程的運行特權和系統(tǒng)調(diào)用,實現(xiàn)資源隔離與訪問隔離,防止越權訪問和橫向攻擊。
● 網(wǎng)絡安全
支持NFV多網(wǎng)絡平面方案
中興通訊容器安全解決方案包含自主研發(fā)的插件Knitter,實現(xiàn)多網(wǎng)絡平面功能,網(wǎng)絡隔離,并設定安全訪問策略,劃分安全域,有效防護了網(wǎng)絡攻擊,同時滿足高性能轉(zhuǎn)發(fā)的需求。
圖2:Knitter架構圖
網(wǎng)絡流量可視化
中興通訊容器安全方案利用自研的DexMesh組件,實現(xiàn)對網(wǎng)絡的監(jiān)控、動態(tài)服務發(fā)現(xiàn)、流量管理(路由規(guī)則、故障注入、負載均衡、斷路),并支持應用灰度發(fā)布、應用監(jiān)控、度量和調(diào)用跟蹤。
通過集中管理模塊統(tǒng)一下發(fā)網(wǎng)絡管理策略,并對每個POD內(nèi)的策略管理,實現(xiàn)基于服務的網(wǎng)絡流量控制、超時策略、重試策略,斷路器功能等。
圖3:DexMesh架構
通過DexMesh組件實現(xiàn)對網(wǎng)絡流量管理,使得網(wǎng)絡管理不受容器應用IP變化、上下線和彈縮影響。上層流量管理模塊可直接觀察服務和對應流量狀態(tài),網(wǎng)絡策略的實現(xiàn)直接基于應用標簽,更適用于容器化平臺的網(wǎng)絡安全管理。該架構還可以集成第三方網(wǎng)絡安全組件,實現(xiàn)集群的縱深防御。
● 數(shù)據(jù)安全
中興通訊容器安全方案采用存儲動態(tài)provision方案, 為容器應用提供PVC服務,可以實現(xiàn)容器應用的移植便利性,也使得容器應用無法直接獲取具體的存儲卷信息,減少信息泄露風險。
外掛存儲的保密性和完整性保護特性有助于數(shù)據(jù)安全保護,容器化應用可采用Secret對象存儲自己使用的密鑰等敏感數(shù)據(jù),并通過環(huán)境變量掛載方式實現(xiàn)特定驅(qū)動器的加密, 減小敏感信息的泄露幾率。
圖4:存儲架構
基于CIS Benchmark 的容器配置構建方案, 實現(xiàn)全系統(tǒng)產(chǎn)品的統(tǒng)一合規(guī)基線。管理員可設定差異化的安全策略,實現(xiàn)主機、鏡像和運行態(tài)容器、Kubernetes的安全狀態(tài)檢查。
● 主機安全
主機安全主要是對操作系統(tǒng)進行安全加固,裁剪操作系統(tǒng)的非必要組件,關閉不使用服務端口;開啟系統(tǒng)防火墻;使用最新安全協(xié)議,啟動安全審計服務;提供漏洞和補丁管理,設置安全補丁或安全配置基線修補策略,實現(xiàn)自動化管理。
● 訪問安全
在SDN/NFV場景下,基于Oauth2.0授權機制,可實現(xiàn)NFV架構下各平臺之間、API接口及應用間的雙向認證鑒權,并利用基于Openstack的keystone組件實現(xiàn)資源級授權;
● 安全運維
中興通訊容器安全方案集成了Prometheus、Elasticsearch、Heapster、Filebeat等開源組件,對平臺組件、容器、k8s 原生對象的日志、事件、告警、資產(chǎn)進行全面監(jiān)控;可實時監(jiān)控容器內(nèi)入侵事件,對容器內(nèi)的反彈、提權行為進行監(jiān)控,及時發(fā)現(xiàn)異常入侵的痕跡;對于發(fā)現(xiàn)容器入侵事件、網(wǎng)絡安全問題的容器,及時對受感染容器進行隔離甚至停止運行并告警。
總結與展望
基于對多個容器化應用安全威脅的深度分析,中興通訊利用縱深化防御理念,通過資源隔離、鏡像安全和安全監(jiān)控等多種手段,有效保障容器安全部署和運維。
中興通訊愿與業(yè)界一起推動網(wǎng)絡及信息安全,尤其針對電信邊緣計算應用,提升電信網(wǎng)的安全服務能力,構建和諧的電信網(wǎng)安全生態(tài)圈。