近期,由安全狗CEO陳奮、技術副總裁陳榮有、海青實驗室負責人陳俊杰聯合撰寫的《Docker 容器逃逸的防御方法研究》一文,經專家多輪嚴謹的評審和推薦,入選了《計算機科學與探索》專刊。值得一提的是,安全狗基于對K8s容器全生命周期安全的長期研究、實踐,并幾經改進的容器安全產品云甲可以有效防御Docker容器逃逸攻擊,并在不久前也獲得國際權威咨詢機構Gartner的認可,接連入選了多份技術報告(點此查看)。此次安全論文的入選,是對安全狗技術研究實力的又一肯定。
據悉,《計算機科學與探索》是由中國電子科技集團公司主管、華北計算技術研究所主辦的國內外公開發行的計算機學報級高級學術期刊,中國計算機學會會刊,主要報道計算機(硬件、軟件)各學科領域內具有創新性、前沿性、導向性、開拓性及探索性的科研成果。此學術期刊多次獲得工業和信息化部優秀科技期刊、中國計算機學會優秀會刊等榮譽,權威性和專業度廣受認可。
當前,容器云原生技術快速發展,而Docker容器和宿主機共享內核的特點導致了Docker容器逃逸問題變得嚴峻。因為一旦發生“逃逸”,宿主機和宿主機上其他容器的保密性、完整性和可用性也會受到嚴重影響。因此,解決Docker容器逃逸具有重要安全意義。
《Docker 容器逃逸的防御方法研究》一文,通過梳理國內外對容器逃逸展開的防御工作,分析了容器逃逸的根源,并圍繞了Docker容器逃逸涉及到的技戰術分析了攻擊者的攻擊思路。針對這些問題現狀,文中還分析了業界常見的應對方案,如運行時異常檢測、安全容器、基于Docker容器生命周期的安全運維等等,并指出了這些方案的局限性,如現有運行時異常檢測方案存在檢測覆蓋面不足、檢測能力時效性不足等局限性;現有安全容器方案具有安全風險、引入現階段仍不夠主流的技術棧等局限問題;現有部分基于Docker容器生命周期的安全運維方案在完備性和性能等方面仍存在改善空間。
在論文的最后,安全狗安全研究專家從基于Docker容器生命周期和攻擊前、攻擊時、攻擊后等綜合性角度出發,明確提出:為了低成本、高效率地做好容器逃逸的防御工作,應在Docker容器的全生命周期內開展落實最小權限、縱深防御的工作。同時,還分享了實際案例,為安全從業者如何有效開展Docker容器逃逸防御工作提供了思路與方向。
從常態化的攻防實戰角度分析和解決容器逃逸問題,有利于用戶更好地利用容器快速部署業務應用,讓業務在安全環境中穩定推進。在未來,安全狗將繼續擴大和鞏固自身在國內云安全行業的技術優勢,緊密跟蹤國際、國內技術發展趨勢和市場需求動向,繼續堅持創新,高速成長,推出更加優質、安全、放心的產品和能力,為廣大用戶的網絡安全保駕護航,為網絡強國貢獻力量。
備注:
