本公開的實(shí)施例涉及云平臺安全檢測����,具體地�����,涉及一種面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)方法�、裝置以及存儲有計(jì)算機(jī)程序的計(jì)算機(jī)可讀存儲介質(zhì)。
背景技術(shù):
1��、容器化技術(shù)與kubernetes編排系統(tǒng)已成為現(xiàn)代互聯(lián)網(wǎng)及企業(yè)服務(wù)部署的基礎(chǔ)架構(gòu)形式��。然而���,kubernetes的模塊化���、高可配置性和插件生態(tài)為其帶來靈活管理能力的同時(shí),也帶來了權(quán)限體系復(fù)雜�、系統(tǒng)組件暴露、遠(yuǎn)程訪問邊界不清等安全風(fēng)險(xiǎn)?,F(xiàn)階段,一旦攻擊者成功實(shí)施容器逃逸����,即可在宿主節(jié)點(diǎn)中獲取足夠的資源與信息�,以尋求集群內(nèi)部的進(jìn)一步權(quán)限提升���。
2��、現(xiàn)有主流防御方案中���,rbac-police能夠基于rego規(guī)則識別服務(wù)賬戶或角色配置中的權(quán)限冗余之處,但其為靜態(tài)規(guī)則判斷��,不構(gòu)建動態(tài)封閉路徑模型�����,也不判斷攻擊者是否可達(dá)目標(biāo)服務(wù)賬戶����。falco及ebpf類工具專注于容器運(yùn)行過程中行為分析�����,可用于檢測容器逃逸操作本身�,但不理解權(quán)限語義與集群內(nèi)部的資源連接關(guān)系���,難以判斷事件對集群的后續(xù)影響力。政策類網(wǎng)關(guān)工具(如opa/gatekeeper)��,可在admission?controller階段強(qiáng)制項(xiàng)配置規(guī)則生效����,防止不符合規(guī)范的資源提交。但此類工具主要在資源層(如是否有hostpath)關(guān)鍵字段監(jiān)控�,面對運(yùn)行過程中形成的攻擊行為無法甄別或回退。此外�,盡管云平臺(如aws?eks、google?gke)為系統(tǒng)組件賦予iam控制手段�����,但多以云賬號維度操作����,不能控制pod級rbac范圍,一旦攻擊者獲取服務(wù)賬戶或kubelet配置���,無法有效實(shí)施封鎖或阻止攻擊者進(jìn)一步擴(kuò)展權(quán)限���。
3��、可見���,當(dāng)前kubernetes安全體系在防范逃逸后權(quán)限提升方面仍存在多項(xiàng)關(guān)鍵性缺陷。例如���,缺少攻擊鏈路建模能力����,系統(tǒng)組件的高危險(xiǎn)性未被足夠重視�,忽略行為背后的權(quán)限含義與可能的后續(xù)影響,開發(fā)與部署過程缺乏提前識別異常權(quán)限的手段��,權(quán)限建立后通常以“長時(shí)間有效”存在���,缺乏事件驅(qū)動崗位的權(quán)限封禁機(jī)制。這些缺陷使得kubernetes集群在防范權(quán)限提升攻擊方面存在較大漏洞��。
技術(shù)實(shí)現(xiàn)思路
1���、本文中描述的實(shí)施例提供了一種面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)方法�����、裝置以及存儲有計(jì)算機(jī)程序的計(jì)算機(jī)可讀存儲介質(zhì)�,通過圖譜建模、行為觸發(fā)聯(lián)動和權(quán)限路徑分析�����,能夠有效解決現(xiàn)有kubernetes安全體系中對于容器逃逸后的權(quán)限提升檢測和防范的不足��。
2�、根據(jù)本公開的第一方面,提供了一種面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)方法����,包括:采集kubernetes集群中的資源信息,基于采集的資源信息構(gòu)建權(quán)限關(guān)系圖譜�����;通過安全監(jiān)控工具實(shí)時(shí)監(jiān)控kubernetes集群中的容器行為��;當(dāng)檢測到容器逃逸行為時(shí)��,識別并標(biāo)記權(quán)限跳板pod���,啟動路徑搜索算法�����,在權(quán)限關(guān)系圖譜中推導(dǎo)攻擊路徑���;以及根據(jù)攻擊路徑分析結(jié)果觸發(fā)策略響應(yīng)機(jī)制����,對攻擊路徑執(zhí)行封鎖���、警報(bào)和最小權(quán)限建議的響應(yīng)措施����,并可視化展示攻擊路徑圖譜���。
3���、在本公開的一些實(shí)施例中��,采集kubernetes集群中的資源信息����,基于采集的資源信息構(gòu)建權(quán)限關(guān)系圖譜包括:通過kubernetes?watcher機(jī)制實(shí)時(shí)監(jiān)聽與權(quán)限相關(guān)的pod�、服務(wù)賬戶�、角色綁定、api操作的變化���,從api?server中采集權(quán)限資源關(guān)系�����;根據(jù)采集的權(quán)限資源關(guān)系��,構(gòu)建一個(gè)動態(tài)的rbac權(quán)限邊集���,通過角色權(quán)限映射器將每個(gè)服務(wù)賬號的角色權(quán)限向量化表示;將角色權(quán)限與服務(wù)賬戶綁定的pod位置結(jié)合��,構(gòu)建出pod權(quán)限反映點(diǎn)圖�。
4、在本公開的一些實(shí)施例中�,通過安全監(jiān)控工具實(shí)時(shí)監(jiān)控kubernetes集群中的容器行為包括:通過集成行為監(jiān)聽器捕捉容器執(zhí)行的系統(tǒng)調(diào)用事件,當(dāng)捕捉到訪問敏感的系統(tǒng)路徑���、寫入宿主機(jī)路徑����、調(diào)用網(wǎng)絡(luò)層面權(quán)限時(shí),標(biāo)記具有逃逸特征的調(diào)用事件�;當(dāng)檢測到相關(guān)異常行為時(shí),將容器的pod?uid傳遞給事件處理器�����,將事件信息與容器的運(yùn)行時(shí)上下文進(jìn)行關(guān)聯(lián)��。
5����、在本公開的一些實(shí)施例中,當(dāng)檢測到容器逃逸行為時(shí)�����,識別并標(biāo)記權(quán)限跳板pod���,啟動路徑搜索算法��,在權(quán)限關(guān)系圖譜中推導(dǎo)攻擊路徑包括:解析每個(gè)pod綁定的服務(wù)賬戶的rbac權(quán)限結(jié)構(gòu)���、pod部署信息和節(jié)點(diǎn)調(diào)度信息���,計(jì)算出pod的綜合風(fēng)險(xiǎn)評分���;根據(jù)綜合風(fēng)險(xiǎn)評分識別并標(biāo)記出使攻擊者權(quán)限提升的pod為權(quán)限跳板pod��;基于圖路徑搜索算法尋找從攻擊源pod到cluster-admin權(quán)限的權(quán)限跳躍路徑���。
6、在本公開的一些實(shí)施例中����,解析每個(gè)pod綁定的服務(wù)賬戶的rbac權(quán)限結(jié)構(gòu)、pod部署信息和節(jié)點(diǎn)調(diào)度信息�����,計(jì)算出pod的綜合風(fēng)險(xiǎn)評分包括:基于每個(gè)pod所綁定的服務(wù)賬戶的權(quán)限等級計(jì)算rbac權(quán)限評分�����;將pod的部署類型區(qū)分為系統(tǒng)組件和應(yīng)用組件�,根據(jù)pod的部署類型計(jì)算pod部署評分;分析pod所部署的節(jié)點(diǎn)是否與觸發(fā)容器逃逸事件的攻擊者容器調(diào)度在同一節(jié)點(diǎn)��,根據(jù)節(jié)點(diǎn)調(diào)度可達(dá)性計(jì)算節(jié)點(diǎn)可達(dá)性評分;根據(jù)pod與敏感資源的接近性計(jì)算行為接近性評分���;將rbac權(quán)限評分��、pod部署評分�����、節(jié)點(diǎn)可達(dá)性評分和行為接近性評分按照不同的權(quán)重進(jìn)行加權(quán)����,最終得到每個(gè)pod的綜合風(fēng)險(xiǎn)評分���。
7��、在本公開的一些實(shí)施例中����,基于圖路徑搜索算法尋找從攻擊源pod到cluster-admin權(quán)限的權(quán)限跳躍路徑包括:基于最短路徑算法尋找從攻擊源pod出發(fā)�,經(jīng)過中間跳板節(jié)點(diǎn)到達(dá)擁有cluster-admin權(quán)限的節(jié)點(diǎn)的最短路徑;基于路徑的風(fēng)險(xiǎn)評分和節(jié)點(diǎn)的攻擊可能性�,選出前k條最具威脅的攻擊鏈。
8�����、在本公開的一些實(shí)施例中,當(dāng)攻擊路徑成立時(shí)觸發(fā)策略響應(yīng)機(jī)制��,對攻擊路徑執(zhí)行封鎖�����、警報(bào)和最小權(quán)限建議的響應(yīng)措施����,并可視化展示攻擊路徑圖譜包括:評估攻擊路徑的風(fēng)險(xiǎn)評分�,當(dāng)風(fēng)險(xiǎn)評分超過預(yù)設(shè)風(fēng)險(xiǎn)閾值時(shí),暫停相關(guān)pod的運(yùn)行�����,修改相關(guān)資源的權(quán)限��,拒絕未經(jīng)審計(jì)的訪問請求��;在權(quán)限修改操作完成后���,根據(jù)調(diào)整后的權(quán)限狀態(tài)���,生成最小權(quán)限建議的yaml文件�,yaml文件內(nèi)容包括修改后的服務(wù)賬戶綁定��、降級后的角色權(quán)限��、最小權(quán)限的推薦配置�����;通過gitops管理工具將yaml文件推送到管理庫���,并通過自動化部署工具將權(quán)限變更同步到kubernetes集群����;在前端頁面�,使用javascript圖形庫加載svg格式的攻擊路徑圖譜或者通過解析json格式的數(shù)據(jù)生成攻擊路徑圖譜。
9����、在本公開的一些實(shí)施例中,攻擊路徑圖譜的節(jié)點(diǎn)信息包含資源的權(quán)限等級和跳板危險(xiǎn)系數(shù)��,每條邊的信息包括操作類型和該操作影響的資源類型���。
10����、根據(jù)本公開的第二方面,提供了一種面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)裝置����。該裝置包括至少一個(gè)處理器��;以及存儲有計(jì)算機(jī)程序的至少一個(gè)存儲器���。當(dāng)計(jì)算機(jī)程序由至少一個(gè)處理器執(zhí)行時(shí)���,使得裝置:采集kubernetes集群中的資源信息,基于采集的資源信息構(gòu)建權(quán)限關(guān)系圖譜��;通過安全監(jiān)控工具實(shí)時(shí)監(jiān)控kubernetes集群中的容器行為��;當(dāng)檢測到容器逃逸行為時(shí)�����,識別并標(biāo)記權(quán)限跳板pod���,啟動路徑搜索算法�����,在權(quán)限關(guān)系圖譜中推導(dǎo)攻擊路徑��;根據(jù)攻擊路徑分析結(jié)果觸發(fā)策略響應(yīng)機(jī)制���,對攻擊路徑執(zhí)行封鎖���、警報(bào)和最小權(quán)限建議的響應(yīng)措施,并可視化展示攻擊路徑圖譜�����。
11���、根據(jù)本公開的第三方面���,提供了一種存儲有計(jì)算機(jī)程序的計(jì)算機(jī)可讀存儲介質(zhì),其中����,計(jì)算機(jī)程序在由處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)本公開的第一方面的面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)方法的步驟���。
12、根據(jù)本公開的實(shí)施例的面向kubernetes容器逃逸的攻擊路徑識別與響應(yīng)方法及裝置�,通過識別容器環(huán)境中的權(quán)限跳板pod構(gòu)建攻擊行為的聯(lián)動圖譜,能夠在容器逃逸初期就發(fā)現(xiàn)潛在威脅����,并通過自動化響應(yīng)機(jī)制限制攻擊的蔓延,確保kubernetes集群在容器逃逸與權(quán)限提升攻擊面前的安全性���。這種多層次的安全防護(hù)不僅提升了攻擊檢測的精確度,還優(yōu)化了對高風(fēng)險(xiǎn)事件的響應(yīng)速度和效率���。