雲原生攻防與營運實戰

奇安信網絡安全部是一個充滿活力且對安全技術充滿好奇心的團隊，在奇安信集團內部被稱為「御林軍」。主要承擔集團的網絡安全與資料安全體系建設與治理，防範駭客入侵，確保集團產品的安全質量，並對產品安全漏洞進行響應和閉環，負責集團基礎網絡的建設與維護，承擔產品在集團現網環境實驗局的使用與運營，為產品的功能改進給出建議，並輸出最佳實踐。

前　言
第一分　雲原生概述
第1章　雲原生及其發展現況　3
1.1　雲原生發展現況　3
1.1.1　雲原生概論　3
1.1.2　雲原生關鍵技術　5
1.1.3　雲原生市場發展趨勢　6
1.1.4　重點產業雲端原生應用現狀　8
1.2　雲原生發展現況　10
1.2.1　新技術帶來新威脅　10
1.2.2　現況與發展趨勢　10
第2章　雲原生風險　13
2.1　雲原生風險與挑戰　13
2.1.1　雲端基礎設施變革引進新的暴露面　14
2.1.2　業務開發模式改變帶來新的風險　14
2.1.3　傳統護手段在雲原生環境中失效　16
2.1.4　雲原生應用在各段存在供應鏈風險　16
2.1.5　雲原生營運面臨巨大挑戰　17
2.2　雲原生風險案例　18
2.2.1　斯拉：不的K8s配置　18
2.2.2　SolarWinds：供應鏈風險　18
2.2.3　DoS攻擊：雲端原生基礎設施風險　19
2.2.4　大規模挖礦：不的容器　19
第二分　雲原生護
第3章　主流雲端原生框架　23
3.1　參考框架　23
3.1.1　CNCF雲原生框架　23
3.1.2　Gartner雲端原生架構　25
3.1.3　信通院雲原生框架　28
3.2　奇安信對雲原生的理解　30
3.2.1　設計原則　30
3.2.2　總體框架　31
第4章　雲端基礎設施　32
4.1　雲端基礎設施風險　32
4.2　雲端配置管理平臺簡介　33
4.3　雲端配置管理平臺的核心功能　34
4.3.1　資產清點　34
4.3.2　配置核查　35
4.3.3　流量採集　35
4.3.4　集群漏洞　36
4.4　雲端配置管理平臺的勢　36
4.4.1　統一管理　36
4.4.2　署靈活　37
4.5　雲端設定管理平臺的應用值　37
第5章　製品　39
5.1　代碼　39
5.1.1　風險　39
5.1.2　API資產收集　40
5.1.3　IaC代碼　44
5.1.4　開源軟件程式碼　46
5.1.5　代碼審查　54
5.2　鏡像　59
5.2.1　鏡像風險　59
5.2.2　鏡像分層　60
5.2.3　鏡像掃描　63
5.3　鏡像倉庫　66
5.3.1　Harbor簡介　67
5.3.2　Harbor鏡像掃描與運作　68
第6章　運行時　74
6.1　入侵偵測　74
6.1.1　基於規則的已知威脅發現　75
6.1.2　基於行為的未知威脅發現　83
6.2　準入控制　90
6.2.1　準入控制原理　90
6.2.2　策略引擎　92
6.2.3　椒圖容器實作　96
6.3　API護　99
6.3.1　API的挑戰　100
6.3.2　API框架標準　105
6.4　網絡微隔離　107
6.4.1　來自網絡的威脅　107
6.4.2　Sidecar代理模式下的流量管控　108
6.4.3　eBPF模式下的網絡控制　109
6.4.4　網絡流量的可視化與監控　111
6.4.5　三、四層網絡存取控制　116
6.4.6　七層容器WAF　120
第三分　雲原生攻
第7章　雲原生環境下常見的攻矩陣　127
7.1　CNCF K8s攻矩陣　127
7.2　MITRE ATT CK容器攻矩陣　131
7.3　Microsoft K8s攻矩陣　131
7.4　奇安信雲原生攻矩陣　133
7.5　攻矩陣的戰術點　133
第8章　雲原生環境下的攻擊手法　137
8.1　雲原生場景下的ATT CK框架　137
8.2　初始訪問　139
8.2.1　kube-apiserver未授權　139
8.2.2　kubelet未授權　144
8.2.3　etcd未授權　147
8.2.4　kubeconfig檔外洩　149
8.2.5　K8s Dashboard未授權　151
8.2.6　kubectl proxy暴露　153
8.2.7　Docker Daemon未授權　154
8.3　執行　155
8.3.1　透過kubectl exec進入容器　155
8.3.2　創建後門Pod　156
8.3.3　利用服務帳號連線API Server執行指令　158
8.3.4　未開啟RBAC策略　159
8.3.5　不的容器鏡像　161
8.4　持久化　161
8.4.1　署後門容器　161
8.4.2　在容器或鏡像內植入後門　163
8.4.3　修改核心元件的存取權限　164
8.4.4　偽裝系統Pod　164
8.4.5　署靜態Pod　164
8.4.6　創建Shadow API Server　166
8.4.7　K8s集群內的Rootkit　168
8.5　權限提升　169
8.5.1　K8s RBAC權限濫用　170
8.5.2　利用權容器逃逸　173
8.5.3　利用容器的不配置提權　174
8.5.4　容器基礎應用或容器編排平臺的軟件漏洞　188
8.5.5　利用Linux核心漏洞逃逸　190
8.6　禦繞過　191
8.7　憑證竊取　192
8.7.1　kubeconfig憑證或叢集Secret洩漏　192
8.7.2　利用K8s準入控制器竊取資訊　192
8.8　發現探測　193
8.8.1　探測群集中常用的服務組件　193
8.8.2　透過NodePort存取Service　194
8.8.3　存取私有鏡像庫　194
8.9　橫向移動　195
第9章　雲原生環境下的攻擊偵測與禦　197
9.1　初始訪問的偵測與禦　197
9.1.1　未授權的接口或暴露的敏感接口　197
9.1.2　kubeconfig檔外洩　199
9.1.3　不的容器鏡像　199
9.2　執行的偵測與禦　199
9.2.1　經由kubectl進入容器　199
9.2.2　透過SSH服務進入容器　200
9.2.3　署後門容器　201
9.2.4　透過服務帳號連線API Server執行指令　201
9.3　持久化的檢測與禦　202
9.3.1　署後門容器　202
9.3.2　掛載目錄向宿主機寫入檔案　202
9.3.3　建立Shadow API Server　202
9.3.4　K8s CronJob持久化　203
9.3.5　K8s集群Rootkit利用　203
9.3.6　靜態Pod　204
9.4　權限提升的偵測與禦　205
9.4.1　RBAC權限濫用　205
9.4.2　權容器逃逸　206
9.4.3　利用容器不的掛載和權限逃逸　206
9.4.4　容器或容器編排工具存在漏洞　206
9.5　禦繞過的偵測與禦　207
9.5.1　容器日誌　207
9.5.2　刪除K8s事件　207
9.5.3　使用代理或匿名存取K8s API Server　207
9.6　憑證竊取的偵測與禦　208
9.6.1　K8s Secret洩漏　208
9.6.2　服務帳號憑證外洩　208
9.6.3　設定檔中的應用程式憑證　209
9.6.4　惡意準入控制器竊取資訊　209
9.7　發現探測的偵測與禦　209
9.7.1　存取 K8s API Server　209
9.7.2　存取 kubelet API　210
9.7.3　網絡映射　210
9.7.4　暴露的敏感接口　211
9.8　橫向移動的偵測與禦　212
第四分　雲原生運營
第10章　雲原生營運管理　217
10.1　雲原生營運建置的要性　217
10.2　雲原生營運的重要性　218
10.3　雲原生營運建置流程　220
10.3.1　雲原生營運平臺　221
10.3.2　雲端原生營運人員　231
10.3.3　雲端原生營運流程　232
10.4　雲原生體系的主要應用場景　234
10.4.1　雲原生應用程式全生命週期風險管控　234
10.4.2　雲端原生應用供應鏈全流程　234
10.4.3　雲原生事件緊急處置　235