image.png

1 编排文件扫描

1.1 功能介绍

在云从业者的工作日常中，给集群创建一个新的资源，用 docker 写个新的镜像起个测试容器，就像每天摸鱼必发表情包一样高频日常。

image.png

如果在摸鱼的时候写写 dockerfile 和 yaml ，有没有可能忘记了 yi 点点细节？不要小看这 yi 点点细节，例如配置了 --enable-skip-login 为 true ，那可能会造成集群未授权访问的风险。

image.png

根据 RedHat 报道，“人为错误” 是 Kubernetes 安全事故的主要原因。配置不当的这类基础设施将会在整个 DevOps 流程中迅速流转。存在风险的这类资源通常会给整个业务埋下安全隐患。

牧云通过扫描编排文件资源，对可能影响集群稳定性、可靠性、可伸缩性和安全性的配置问题进行检测。

• 支持手动上传文件进行编排文件编写规范检测

• 支持自动识别集群配置文件进行检测

• 提供 k8s 、docker 官方标准规则库，检测权限配置、错误设置等 多类型规则，全面支持 k8s pss-restricted、pss、extends 类 型规则

• 明确提供每条风险修复建议

• 与大多数开源工具相比，中文检测详情内容更友好

• …

1.2 都有哪些检测规则？

• 使用了 ADD 添加远程文件：使用 ADD 远程下载非常危险，可能会 ADD 指令将提取 tar 文件，这增加了基于 zip 的漏洞的风险。

• 使用了多个 CMD 指令：一个 Docker 文件中只能有一条 CMD 指令。如果你列出多个 CMD，那么只有最后一个 CMD 才会生效。

• secure-port 设置错误：如果 system:anonymous 用户被错误地绑定到 cluster-admin 用户组，6443 端口允许匿名用户以管理员权限向集群内部发布命令。

• 挂载了/proc：将 /proc 挂载进容器内部有可能造成容器逃逸

• …

1.3 使用教程

前往百川云平台，使用 牧云·云原生安全平台 ，前往安全左移/编排文件 模块：

https://rivers.chaitin.cn/?promotion=1e07cd415fe5eee58c14550c8452914e

image.png

1.3.1 自动检测

联系小助手：connyclub ，免费获取集群资源集成方式，集成后平台将自动进行编排文件风险检测。

image.png

1.3.2 手动上传

点击 上传文件 按钮，选择需要检测的文件上传即可，上传秒检测。

image.png image.png

2 逃逸风险检测

2.1 功能介绍

在日常的攻防对抗中，既有自动化容器逃逸工具（猜猜我说的是谁？），就有 24h 实时监控逃逸风险产品。

作为企业业务的安全守门员，我们仅通过开源工具的非即时性单次扫描很难实时关注入侵风险痕迹，极易错失真实攻击行为。牧云通过被动检测的方式，实时关注运行时环境中的容器逃逸风险并检查告警，提供详细的检查依据和修复建议，保证 风险可检测、问题可修复、运营可闭环。

image.png

2.2 支持哪些规则

• 特权容器：通过读取目标容器的 CapEff 值并进行比对，检测目标容器是否以特权模式启动。避免由于特权模式启动容器带来的逃逸风险。

• 不安全的linux Capability：通过读取目标容器的 CapEff 值，并将其解析后进行比对，检测目标容器是否被赋予了某些不安全的 Capability。避免由于不安全的 Capability 造成的逃逸风险。目前支持检测的 Capability 包括：DAC_READ_SEARCH、SYS_MODULE、SYS_PTRACE、SYS_ADMIN 等

• 不安全的挂载：检查目标容器的挂载目录，查看是否有不安全的文件或目录被挂载进容器。避免由于某些敏感文件/目录被挂载导致的逃逸风险。目前支持检测的挂载文件/目录包括：/、/lxcfs、/etc、/proc、/var、/root等。

• 共享命名空间：通过读取目标容器的 pid/ipc 值并进行比对，检测目标容器使用时是否打破了进程隔离共享 namespace。这可能会引起一些逃逸方式的利用。

• …

2.3 使用教程

前往百川云平台，使用 牧云·云原生安全平台 ，前往 容器安全/逃逸风险 模块，部署平行容器检测引擎后将会实时自动检测容器逃逸风险：

https://rivers.chaitin.cn/?promotion=1e07cd415fe5eee58c14550c8452914e

image.png image.png