基于容器的網絡安全分析

摘要：容器網絡安全存在如進行容積安全隔離時數據效率低下、網絡復雜度高、硬件設備的傳輸壓力大、流量管控不平衡、挖礦類病毒肆虐、受到IP地址假冒攻擊等難題。文章結合容器應用的安全需求，通過進行細致化的容器分段，對不同狀態應用進行統一化的安全集中管理和控制，精細化管控容器流量控制、容器的網絡訪問控制，以容器的IP假冒地址攻擊和挖礦病毒的運行原理為基礎，采取針對性的解決措施，確保主機業務網絡的運行權限。

關鍵詞：容器安全；網絡安全；網絡體系

中圖分類號： TP393

文獻標志碼： A

0 引言

隨著信息技術的迅速發展，容器網絡安全問題也成為重中之重。在實際的使用過程中，不同的業務會根據自身的業務需求提供一套獨立的配置方案，但在沒有有效的審計管控時，增加配置只會使內部環境更復雜，增加容器的安全風險。所以容器集群技術的供應商必須結合國家的有關規定將存在的安全事件信息和安全威脅信息全部及時供應給客戶群體，及時評估安全風險，尋求針對性的解決措施，對安全風險進行科學合理管控。

1 容器網絡安全困境分析

1.1 容器安全分級管控和安全隔離中存在的問題

業務微服務化拆分后，內部的東西向流量會加速放大，在這一過程中要考慮到東西向容器的安全分級管控和安全隔離^［1］。目前的容器安全隔離都停留在硬件設備上，集群中不同業務的容器若要進行分級安全管理與控制和安全隔離，就必須要通過硬件設備交換東西向流量，流量在穿過硬件設備進行隔離的過程中，網絡的復雜度會有所增加，數據傳輸效率降低，硬件設備的傳輸率壓力增大。

1.2 流量管理中存在的問題

進行網絡安全分級管理和安全隔離會導致硬件服務器和CPU內存配置迅速增加。在業務激增的情況下，物理服務器需要承擔更多的容器數量，但物理服務器的業務網卡總數量和吞吐數量是有限的。若容器中有占用過高的服務、寬帶的，其他容器獲得的寬帶資源必然減少。容器的吞吐受到限制，反應時間會拉長。目前，針對解決關鍵帶寬資源預留和限制問題上還沒有精細化的管理手段，容器設置網絡的流量和寬帶的管理有待進一步精細化。

1.3 挖礦類病毒肆虐帶來的危害

在運行的過程中，若受到挖礦病毒的侵蝕，多個不同版本的軟件必然受到影響，一旦容器挖礦病毒滲透到網絡內部環境，會深入嗅探和傳染病毒。通常情況下，遇到這一類問題時，會通過升級來解決某一個軟件版本的漏洞或者直接刪除感染內部環境的木馬程序。這只能發現一次，解決一次。目前，還沒有一蹴而就的方法，往往隨著軟件的升級和調整，還會出現新的漏洞，木馬也可能會出現變異種，會影響容器的正常運行，需要進一步尋找有效的解決措施，避免挖礦類病毒的肆虐。

1.4 容器的IP地址假冒攻擊引發的難題

容器數量的增多會進一步增加容器暴露的風險，但在容器平臺中，通常不可能只有少數幾個容器。一個容器受到攻擊時可能會導致整個容器平臺受到牽連，嗅探內部存在漏洞，嘗試修改IP，對物理機內部進行探測和破壞。IP地址的假冒攻擊一旦成功，可以通過攻破一個容器獲取整個主機的管理權限。整個網絡內部環境都將完全暴露在風險內^［2］。如何防御容器的IP地址假冒攻擊一直以來都是重要的課題。

2 容器網絡安全困境的解決思路和對策

雖然目前已經有非常多種類型的容器網絡工具，但依舊缺乏功能齊全、安全性能高、運營維護方便的網絡工具。故需要結合容器網絡存在的困境，針對性地尋找解決思路和對策，提升網絡的安全性。

2.1 容器的安全隔離

首先，通過創建命令，自動分配獨立的路由器和地址段，結合容器應用的安全需求，建立單個pod的或一組pod的網絡微分段。其次，控制業務網絡路由策略，將不同業務的容器按照標簽歸類到相應的類別中，進行細致化的容器分段。最后，要結合容器微分段制定安全準則，根據制定的目標、服務類別、動作、實施范圍和指定源，對容器網絡的流量端口進行精細化管理，制定高級策略^［3］。可以提前制定訪問規則或者也可以根據實際需求實時創建命令，滿足應用需求，就可以消除安全等級管理和安全隔離中存在的屏蔽流量對網絡安全造成的負面影響，解決數據傳輸和交換效率低下的問題，在物理機的網卡層面對流量管理進行控制，開展不同狀態應用的統一化安全集中管理和控制。

2.2 精細化控制容器流量

根據每個業務的需求，基于每個pod的端口將流量限制在入站或出站端口，確保不同應用程序的訪問服務質量保持在同一水平。同時，還可以限制每個端口的廣播入口流量，并根據需求設置每個pod端口的值。這確保即使在業務激增或其他異常情況下，不同應用程序獲得的端口流量也可以得到有效控制。如果容器的默認橋接模式不控制或限制網絡流量，為避免潛在的網絡攻擊風險，有必要根據實際需要相應地配置網絡流量。在主機中的所有容器不需要在第三層或第四層進行網絡通信的情況下，可以將容器參數配置為禁止容器之間的通信。在具有多個租戶的容器云環境中，可能存在單個容器占用主機的大量物理網卡并搶占其他容器帶寬的情況。為了確保容器之間的正常通信，避免異常流量導致的網絡DoS攻擊等后果，有必要對容器之間的通信流量施加一定的限制。由于容器通過創建虛擬網卡連接到虛擬網橋，并且容器之間的通信需要虛擬網卡對和網橋連接，因此可以使用流量控制器模塊來限制容器網絡的流量。流量控制器的原理是建立分組隊列并制定發送規則，以實現流量限制和調度功能。為了在一定程度上減輕容器之間DoS攻擊的危害，可以將流量控制器的dev設置為連接到主機中每個容器的虛擬網卡，以限制主機上容器之間的流量。

2.3 容器的網絡訪問控制

在網橋連接模式下，連接到同一網橋的兩個容器可以直接訪問彼此。因此，為了實現網絡訪問控制，可以根據需要配置網絡訪問控制機制和策略。如果通過容器創建不同的橋接網絡，為了實現容器之間的網絡隔離，可以將容器放置在不同的橋接網中。當使用命令在容器中創建新的橋接網絡時，iptables中的配置丟棄規則會阻止與其他網絡的通信流量，從而實現容器網絡之間的隔離。此外，可以配置基于白名單策略的網絡訪問控制。為了確保容器之間的網絡安全，默認情況下可以禁用容器之間的通信，并根據需要設置網絡訪問控制規則。具體來說，在同一個虛擬網絡中，不同容器之間的網絡訪問可以通過iptables來控制，例如：iptables的FORWARD鏈策略默認為所有丟棄。此時，可以使用白名單策略來實現網絡訪問控制，這意味著根據實際需要在iptables中添加訪問控制策略，以最大限度地減少攻擊面。在集群模式下，不同的租戶可以通過VLAN與已建立的虛擬化集群隔離，以進行子網隔離。在默認情況下，基于Overlay網絡的容器集群可以在同一主機內同一子網中的不同容器之間直接訪問。要控制從主機的外部到內部容器應用程序的訪問，可以在主機的iptables中手動將ACL訪問控制規則添加到DOCKER-INGRESS鏈，以控制主機的eth0對容器的訪問，或者在主機外部部署防火墻或其他方法。然而，在大型容器云環境中，由于微服務的頻繁動態變化和更新，手動配置iptables或更新防火墻是難以實現的。因此，容器云環境中的容器防火墻可以通過不同的分段來實現。差分分段是一種細粒度的網絡分割和隔離機制。與傳統的基于網絡地址的網絡分割機制不同，差分段可以在單個容器、相同網段容器和容器應用程序的粒度上實現分割和隔離，并通過容器防火墻實現差分段之間的網絡訪問控制，也可利用基于強制訪問控制的機制，在容器應用程序環境中，用來限制容器對資源的訪問。Linux內核的強制訪問控制機制包括SELinux、AppArmor和其他機制，如SELinux和AppArmor機制都可以使經典的shocker.c程序失效，使其無法逃逸出容器實現對宿主機資源的訪問。

2.4 容器的IP地址假冒攻擊防范措施

受到網絡攻擊是不可避免的，網絡攻擊會導致容器的安全系數直線下降。在通常情況下，人們都會非常注重容器網絡安全攻擊問題，避免非核心業務人員攻破容器。在研究容器的IP地址假冒攻擊的防范措施時，研究人員嘗試了各種方法來抵御攻擊，尋找防御措施。網絡攻擊者會通過嘗試更改IP地址等攻擊行為突破防御措施。故要維護容器名稱和IP地址，并使用Spoofguard等功能的引用表來防止IP欺騙。在容器的初始啟動過程中，對每個容器的IP地址都要進行一次檢索，防止未知或虛擬的假冒IP發送或接受流量，對容器網絡的整體安全性發出挑戰。

2.5 容器挖礦病毒處理措施

容器挖掘病毒利用應用內部漏洞對網絡內部環境發起攻擊。挖礦程序一旦獲得root權限，會通過植入挖掘木馬消耗CPU或CPU資源進行挖礦，并會隨著掃描特定的端口獲取可通信的服務器進行木馬傳染。容器挖礦病毒的處理措施要以挖礦病毒的基本原理為基礎，逐一攻克容器環境中存在的安全隱患，對整體環境進行加固處理。

首先，要屏蔽常見的針對容器集群的挖礦網站服務器地址列表，確保挖礦網站的服務器地址無法在容器集群內運行。其次，限定IP范圍和可連接的服務器，確保只有指定的地址才能夠對容器進行訪問，無論應用的數量如何增加都可以通過特定限制來減少對外的暴露。再次，封堵所有存在高風險因素的容器集群端口。最后，嚴格篩查同業務領域和不同業務領域容器之間的訪問情況，制定嚴格的同業務及不同業務的容器訪問規則。若出現不按照容器訪問規則實施的情況可直接加以限制，確保只有特定的IP地址和特定的端口才能夠進行訪問。

綜上所述，想要防止容器受到網絡攻擊，就必須要限制訪問，進行微分段安全隔離，嚴格管控端口和流量，實時掃描篩查容器網絡內部的木馬、病毒和程序，通過禁止容器的假冒IP地址來解決挖礦病毒網絡對容器網絡內部環境造成的安全隱患。宿主的權限被剝奪并更新了信息，假冒新主機對容器內部進行攻擊也可以通過上述方法進行解決。總而言之，就是不能讓其他地址獲取業務網絡的運行權限。

3 結語

容器網絡安全問題中暴露過多，出現bug和漏洞等話題一直為領域內熱議。在不同的操作環境下，每個容器仍共享內核，若沒有安全的邊界，對租戶進行級別隔離，必然有安全隱患。通常情況下，挖礦程序或其他木馬病毒一旦攻破某一個應用，會連帶著滲透數據中心，造成業務停滯，所帶來的負面影響極嚴重。故必須深入分析容器安全問題，找到針對性的解決對策，促進我國電信運營和5 G業務的發展，為顧客提供快捷、穩定、安全的網絡服務。

參考文獻

［1］胡俊，李漫.容器安全解決方案探討與研究［J］.網絡空間安全，2018（12）：102-103.

［2］宋漢松.容器網絡技術研究與前景展望［J］.金融電子化，2019（12）：94-96.

［3］何莉，孫雅妮，王海沛.“云化”新技術時代下的容器技術應用研究［J］.電腦知識與技術，2021（22）：19-21.

（編輯 王永超）

Container-based network security analysis

Zhao Chengbi

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： Difficulties in container network security include low data efficiency during volume security isolation， high network complexity， heavy transmission pressure on hardware devices， unbalanced traffic control， rampant mining viruses， and attacks by IP address spoofing， etc. In combination with the security requirements of container applications， detailed container segmentation should be carried out. With unified security and centralized management and control of applications in different states， fine-grained control of container traffic， network access control for containers，and the operation principle of counterfeit IP address attacks and mining viruses based on this， the paper takes targeted solutions to ensure the operation authority of the host business network.

Key words： container security; network security; network system