威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗服務(wù)器、工作站、桌面、便攜機(jī)、智能移動終端、虛終端檢測與響應(yīng)系主機(jī)側(cè)威脅檢測阻斷系統(tǒng)、主機(jī)日志采集分析、主機(jī)服務(wù)器、工作站、桌面、便攜機(jī)、智能移動終端、虛終端檢測與響應(yīng)系主機(jī)側(cè)威脅檢測阻斷系統(tǒng)、主機(jī)日志采集分析、主機(jī)容器安全系統(tǒng)終端防御系統(tǒng)（EPP）終端準(zhǔn)入系統(tǒng)主機(jī)安全主機(jī)安全審計系統(tǒng)驅(qū)動級主防系統(tǒng)、分布式防火墻系統(tǒng)、Page2CONTENTSCONTENTS03針對容器和微服務(wù)的新型防御威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗01云模式的最新趨勢和防御特點(diǎn)威脅框架：細(xì)粒度對抗Page5威脅框架：細(xì)粒度對抗容器簡介?硬件全虛擬化–KVM、VMware、Hyper-V、Xen等?軟件“輕”虛擬化–Docker?Windows容器不建議在生產(chǎn)環(huán)微服務(wù)的特點(diǎn)Page6威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗云模式下的開發(fā)運(yùn)維一體化?開發(fā)/交付?開發(fā)人員：提交結(jié)果，輸出容器鏡像?測試人員：獲取鏡像并啟動容器測試?“CI”指持續(xù)集成，它屬于開發(fā)人員的自動化流程?“CD”指的是持續(xù)交付和/或持續(xù)部署?自應(yīng)用開發(fā)階段引入自動化來頻繁向客戶交付應(yīng)用的方法(網(wǎng)絡(luò)文獻(xiàn))Page7威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗新型云環(huán)境安全防御的特點(diǎn)?容器的自身安全?容器的不可變性?微服務(wù)容器的業(yè)務(wù)特點(diǎn)Page8威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗02容器相關(guān)的典型安全威脅Page10云平臺漏洞案例統(tǒng)計icloud艷照門事件微軟承認(rèn)遭受solarwinds事件影響2019年，我國境內(nèi)云遭受DDoS攻擊次數(shù)占我國境內(nèi)目標(biāo)遭受DD被植入后門數(shù)占我國境內(nèi)被植入后門總數(shù)的86被篡改網(wǎng)頁數(shù)占我國境內(nèi)被篡改網(wǎng)頁總數(shù)的87受木馬或僵尸網(wǎng)絡(luò)控制的IP地址占我國境內(nèi)受木馬或僵尸網(wǎng)絡(luò)控制的IP地址總數(shù)的1.云安全對企業(yè)的戰(zhàn)略意義凸顯；AI等預(yù)測技術(shù)成為安全防護(hù)的重點(diǎn)；相關(guān)法律法規(guī)明確安全發(fā)展三大方向：安全合規(guī)、數(shù)據(jù)保護(hù)、可信計算和加密算法。虛擬化技術(shù)漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（虛擬化技術(shù)漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（CVE-2017-4901）。1.Docker配置導(dǎo)致未授權(quán)訪問漏洞a.由內(nèi)核引起（CVE-2016-5196Docker使用了低版本內(nèi)核導(dǎo)致容器可被逃逸b.容器本身漏洞，導(dǎo)致被逃逸（CVE-2019-5736）c.配置逃逸微服務(wù)漏洞1.springboot配置不當(dāng)導(dǎo)致未授權(quán)訪問ge112.ApacheDubbo反序列化漏洞（CVE-2019-17564、CVE-2020-1948）；3.shrio反序列化漏洞（CVE-2016-4437、CVE-2019-12422）虛擬化技術(shù)漏洞統(tǒng)計微服務(wù)相關(guān)框架漏洞統(tǒng)計Java框架Spring DubboDropwizardAkka2211Net虛擬化技術(shù)漏洞統(tǒng)計微服務(wù)相關(guān)框架漏洞統(tǒng)計Java框架Spring DubboDropwizardAkka2211Net相關(guān)微服.NetCore34務(wù)框架ServiceFabric1Surging0MircrodotFramework0Node.js相關(guān)Seneca2微服務(wù)框架Hapi10Restify2Loopback2Go相關(guān)微服Go-Kit0務(wù)框架(無漏Goa0洞)Dubbogo0KVM74DockerHyper-V98XEN490VMware479國內(nèi)外主流云廠商漏洞統(tǒng)計亞馬遜云70谷歌云4微軟云78阿里云5騰訊云1華為云12百度云0天翼云0分布式基礎(chǔ)組件漏洞統(tǒng)計Elasticsearch70opencron4Hadoop78HBase5Zabbix1Open-Falcon12Page12Flume0Page12ClickHouse0Zipkin70Pinpoint4Memcache78RabbitMQ5RocketMQ1ActiveMQ12HDFS0Spark0威脅框架：細(xì)粒度對抗Page13威脅框架：細(xì)粒度對抗案例一：Shiro-550反序列化漏洞分析?漏洞影響攻擊者可以使用它來獲得應(yīng)用所在容器的控制權(quán)限。?處理結(jié)果Page14據(jù)AES初始化向量Page15案例一：反序列化漏洞利用通過ls-alh/.dockerenv可識別目標(biāo)服務(wù)案例一：漏洞威脅捕獲?版本選型，通過對開源組件、庫等的漏洞掃描，提前捕獲低版本依賴中的漏洞，以確認(rèn)相關(guān)安全版本?處理http數(shù)據(jù)請求，比如:apache.catalina.core.ApplicationFilterChain.doFilter()?構(gòu)造反序列化的過程中，會利用Java語言本身的特性構(gòu)造gadget，而他的執(zhí)行流程和正常業(yè)務(wù)邏輯Page16威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例二：Docker容器逃逸安全漏洞分析?漏洞影響?漏洞影響在默認(rèn)設(shè)置下運(yùn)行的Docker容器，并且攻擊者可以使用它來獲得主機(jī)上的root級訪?處理結(jié)果?目前該漏洞已經(jīng)修補(bǔ)，大于此版本的DockePage17威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗Page18案例二：Docker容器逃逸安全漏洞分析容器里面被啟動一份，因此攻擊者利用容器容器里面被啟動一份，因此攻擊者利用容器共享系統(tǒng)內(nèi)核對象的機(jī)制，遍歷容器內(nèi)進(jìn)程安全風(fēng)險分析容器加固方案Page19容器內(nèi)覆蓋目標(biāo)文件為#!/proc/self/exe這樣的腳本內(nèi)容案例二：Docker容器逃逸安全漏洞分析容器內(nèi)覆蓋目標(biāo)文件為#!/proc/self/exe這樣的腳本內(nèi)容攻擊者使用高級語言編寫PoC。通過O_PATH標(biāo)志,忽略權(quán)限打開runc所在/proc/${pid}/exe的fd。然后在從文件標(biāo)識符中（/proc/self/fd/${fd候會覆蓋宿主機(jī)上的runc文件Page20案例二：Docker容器逃逸安全漏洞分析最新云環(huán)境的安全風(fēng)險抓取內(nèi)容、分發(fā)垃圾郵件、運(yùn)行分布式拒絕服務(wù)攻擊等行為的機(jī)器人）都是研究表明，在這些任務(wù)中，更受歡迎的是加密貨幣挖礦（cryptomining），在某種程度Page21威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗8威脅框架：細(xì)粒度對抗87677454數(shù)據(jù)來源阿里云Page22威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗針對容器和微服務(wù)的新型防御編碼階段防御措施?Page24威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗發(fā)布階段防御措施