首页|必读|视频|专访|运营|制造|监管|大数据|物联网|量子|元宇宙|博客|特约记者
手机|互联网|IT|5G|光通信|人工智能|云计算|芯片报告|智慧城市|移动互联网|会展
首页 >> 技术 >> 正文

多维度容器安全 护航5G云原生

2020年5月21日 15:27  CCTIME飞象网  

核心网系统架构师  杨春建

容器面临的安全威胁

垂直行业需求千差万别,提供低成本、快速适应行业需求的创新方案成为5G成功商用的关键。

容器作为NFV转型的最佳载体,成为创新发展的助燃剂,基于容器的云原生应用将成为CT应用的趋势。然而,容器在使用过程中面临着诸多安全威胁:

镜像文件安全威胁

容器镜像的安全将影响到整个容器安全:镜像软件可能存在漏洞;镜像仓库访问控制不善,镜像可能被篡改,镜像文件完整性被破坏,恶意镜像文件或配置被植入后门和木马。

● 容器自身的安全威胁

多个应用共享容器资源,攻击者可利用容器攻击主机或其他容器;在容器生命周期内,容器运行时面临文件系统威胁、DDoS攻击、容器逃逸等威胁;容器删除后,存在剩余信息未及时消除、计算及网络资源未及时释放等威胁。

容器网络安全威胁

SDN/NFV电信网络场景下,需要部署多个虚拟网络平面并实现网络流量隔离,否则控制面、信令面和管理面间流量互相影响,无法保障业务安全。

容器数据安全威胁

容器对于无状态和有状态的应用程序都是有用的。保护的存储安全是确保有状态服务安全的关键要素,否则严重影响业务连续性。

容器主机安全威胁

攻击者可利用操作系统和其他网络组件的安全漏洞实施攻击;利用共享内核程序非法监控所有进程;篡改主机操作系统文件,通过主机对容器进行攻击、非法操作容器、窃取敏感数据信息。

容器访问安全威胁

容器开放一系列用户接口和API编程接口,接口容易被意外和恶意接入;同时接口可能被利用,来开发出更有价值的服务,引入更复杂的API,安全威胁也会相应增加。

容器编排安全威胁

容器编排负责管理整个容器的生命周期,恶意管理员可能越权或非授权管理资源、数据,就会存在系统异常、系统被篡改、VNF敏感信息泄露等威胁。

安全是容器的基本需求之一,应采用有效的安全举措消除系统安全风险,保障容器化应用的安全运行。

中兴通讯容器安全解决方案

针对容器安全风险,中兴通讯提出多维度容器安全解决方案,该方案基于物理基础设施安全、容器自身安全、镜像安全、访问安全、安全运维、数据安全等角度,利用多个安全组件,有效实现容器安全威胁的防御。

图1:容器安全框架

镜像安全

中兴通讯容器管理平台集成了Clair和Anchore等容器安全工具,可实时对容器镜像进行深度扫描,提取每层镜像文件进行特征与CVE漏洞库进行比对分析;同时对镜像进行整体数字签名,根据镜像标签发布,对镜像每层文件进行Hash完整性校验,防止被篡改;对镜像仓库访问双向认证,并采用安全协议进行传输保护,实现对镜像全流程安全防护,保证运行安全。

资源隔离

在操作系统、容器、VNF/APP部署时,可以根据防护安全策略自动配置安全隔离方式。在主机侧,操作系统启动强制访问控制SELinux,配置每个程序级别的访问控制,定义合适访问策略;启用CPU亲和机制,保证CPU缓存数据无法被利用;在容器内,通过Namespace、Control Groups构建应用沙箱实现隔离与资源SLA限制;根据VNF需求开放特定的能力,限制容器进程的运行特权和系统调用,实现资源隔离与访问隔离,防止越权访问和横向攻击。

网络安全

支持NFV多网络平面方案

中兴通讯容器安全解决方案包含自主研发的插件Knitter,实现多网络平面功能,网络隔离,并设定安全访问策略,划分安全域,有效防护了网络攻击,同时满足高性能转发的需求。

图2:Knitter架构图

网络流量可视化

中兴通讯容器安全方案利用自研的DexMesh组件,实现对网络的监控、动态服务发现、流量管理(路由规则、故障注入、负载均衡、断路),并支持应用灰度发布、应用监控、度量和调用跟踪。

通过集中管理模块统一下发网络管理策略,并对每个POD内的策略管理,实现基于服务的网络流量控制、超时策略、重试策略,断路器功能等。

图3:DexMesh架构

通过DexMesh组件实现对网络流量管理,使得网络管理不受容器应用IP变化、上下线和弹缩影响。上层流量管理模块可直接观察服务和对应流量状态,网络策略的实现直接基于应用标签,更适用于容器化平台的网络安全管理。该架构还可以集成第三方网络安全组件,实现集群的纵深防御。

  数据安全

中兴通讯容器安全方案采用存储动态provision方案, 为容器应用提供PVC服务,可以实现容器应用的移植便利性,也使得容器应用无法直接获取具体的存储卷信息,减少信息泄露风险。

外挂存储的保密性和完整性保护特性有助于数据安全保护,容器化应用可采用Secret对象存储自己使用的密钥等敏感数据,并通过环境变量挂载方式实现特定驱动器的加密, 减小敏感信息的泄露几率。

图4:存储架构

基于CIS Benchmark 的容器配置构建方案, 实现全系统产品的统一合规基线。管理员可设定差异化的安全策略,实现主机、镜像和运行态容器、Kubernetes的安全状态检查。

● 主机安全

主机安全主要是对操作系统进行安全加固,裁剪操作系统的非必要组件,关闭不使用服务端口;开启系统防火墙;使用最新安全协议,启动安全审计服务;提供漏洞和补丁管理,设置安全补丁或安全配置基线修补策略,实现自动化管理。

● 访问安全

在SDN/NFV场景下,基于Oauth2.0授权机制,可实现NFV架构下各平台之间、API接口及应用间的双向认证鉴权,并利用基于Openstack的keystone组件实现资源级授权;

● 安全运维

中兴通讯容器安全方案集成了Prometheus、Elasticsearch、Heapster、Filebeat等开源组件,对平台组件、容器、k8s 原生对象的日志、事件、告警、资产进行全面监控;可实时监控容器内入侵事件,对容器内的反弹、提权行为进行监控,及时发现异常入侵的痕迹;对于发现容器入侵事件、网络安全问题的容器,及时对受感染容器进行隔离甚至停止运行并告警。

总结与展望

基于对多个容器化应用安全威胁的深度分析,中兴通讯利用纵深化防御理念,通过资源隔离、镜像安全和安全监控等多种手段,有效保障容器安全部署和运维。

中兴通讯愿与业界一起推动网络及信息安全,尤其针对电信边缘计算应用,提升电信网的安全服务能力,构建和谐的电信网安全生态圈。

编 辑:孙秀杰
声明:刊载本文目的在于传播更多行业信息,本站只提供参考并不构成任何投资及应用建议。如网站内容涉及作品版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容。本站联系电话为86-010-87765777,邮件后缀为#cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
相关新闻              
 
人物
工信部张云明:大部分国家新划分了中频段6G频谱资源
精彩专题
专题丨“汛”速出动 共筑信息保障堤坝
2023MWC上海世界移动通信大会
中国5G商用四周年
2023年中国国际信息通信展览会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2024 By CCTIME.COM
京ICP备08004280号-1  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像