近期,由安全狗CEO陳奮、技術(shù)副總裁陳榮有、海青實驗室負責(zé)人陳俊杰聯(lián)合撰寫的《Docker 容器逃逸的防御方法研究》一文,經(jīng)專家多輪嚴謹?shù)脑u審和推薦,入選了《計算機科學(xué)與探索》專刊。值得一提的是,安全狗基于對K8s容器全生命周期安全的長期研究、實踐,并幾經(jīng)改進的容器安全產(chǎn)品云甲可以有效防御Docker容器逃逸攻擊,并在不久前也獲得國際權(quán)威咨詢機構(gòu)Gartner的認可,接連入選了多份技術(shù)報告(點此查看)。此次安全論文的入選,是對安全狗技術(shù)研究實力的又一肯定。
據(jù)悉,《計算機科學(xué)與探索》是由中國電子科技集團公司主管、華北計算技術(shù)研究所主辦的國內(nèi)外公開發(fā)行的計算機學(xué)報級高級學(xué)術(shù)期刊,中國計算機學(xué)會會刊,主要報道計算機(硬件、軟件)各學(xué)科領(lǐng)域內(nèi)具有創(chuàng)新性、前沿性、導(dǎo)向性、開拓性及探索性的科研成果。此學(xué)術(shù)期刊多次獲得工業(yè)和信息化部優(yōu)秀科技期刊、中國計算機學(xué)會優(yōu)秀會刊等榮譽,權(quán)威性和專業(yè)度廣受認可。
當前,容器云原生技術(shù)快速發(fā)展,而Docker容器和宿主機共享內(nèi)核的特點導(dǎo)致了Docker容器逃逸問題變得嚴峻。因為一旦發(fā)生“逃逸”,宿主機和宿主機上其他容器的保密性、完整性和可用性也會受到嚴重影響。因此,解決Docker容器逃逸具有重要安全意義。
《Docker 容器逃逸的防御方法研究》一文,通過梳理國內(nèi)外對容器逃逸展開的防御工作,分析了容器逃逸的根源,并圍繞了Docker容器逃逸涉及到的技戰(zhàn)術(shù)分析了攻擊者的攻擊思路。針對這些問題現(xiàn)狀,文中還分析了業(yè)界常見的應(yīng)對方案,如運行時異常檢測、安全容器、基于Docker容器生命周期的安全運維等等,并指出了這些方案的局限性,如現(xiàn)有運行時異常檢測方案存在檢測覆蓋面不足、檢測能力時效性不足等局限性;現(xiàn)有安全容器方案具有安全風(fēng)險、引入現(xiàn)階段仍不夠主流的技術(shù)棧等局限問題;現(xiàn)有部分基于Docker容器生命周期的安全運維方案在完備性和性能等方面仍存在改善空間。
在論文的最后,安全狗安全研究專家從基于Docker容器生命周期和攻擊前、攻擊時、攻擊后等綜合性角度出發(fā),明確提出:為了低成本、高效率地做好容器逃逸的防御工作,應(yīng)在Docker容器的全生命周期內(nèi)開展落實最小權(quán)限、縱深防御的工作。同時,還分享了實際案例,為安全從業(yè)者如何有效開展Docker容器逃逸防御工作提供了思路與方向。
從常態(tài)化的攻防實戰(zhàn)角度分析和解決容器逃逸問題,有利于用戶更好地利用容器快速部署業(yè)務(wù)應(yīng)用,讓業(yè)務(wù)在安全環(huán)境中穩(wěn)定推進。在未來,安全狗將繼續(xù)擴大和鞏固自身在國內(nèi)云安全行業(yè)的技術(shù)優(yōu)勢,緊密跟蹤國際、國內(nèi)技術(shù)發(fā)展趨勢和市場需求動向,繼續(xù)堅持創(chuàng)新,高速成長,推出更加優(yōu)質(zhì)、安全、放心的產(chǎn)品和能力,為廣大用戶的網(wǎng)絡(luò)安全保駕護航,為網(wǎng)絡(luò)強國貢獻力量。
備注:
