Docker镜像安全深度扫描.docx

《Docker镜像安全深度扫描.docx》由会员分享，可在线阅读，更多相关《Docker镜像安全深度扫描.docx（14页珍藏版）》请在优知文库上搜索。

1、引言Docker一股以集群的方式提供服务，是大量容器协作完成的一项任务，需要快速分发和启动大量DoCker容器。加速D。Cker镜像的分发环节意义重大.DoCker可以做到更快速的交付和部署，更高效的资源利用，更轻松的迁移和拓展，更简单的更新管理，因此在开发和运维领域应用广泛。1研究背景1.1 背景分析当今，容器安全相关方向的研究主要表现在集成结构本身的安全机制和容器关联主机相互的安全匹配。然而，容器固有的属性系统包括容器、各种运行时库和其他相关的开源项目，表现出高度自动化.在容器自动化方面，有效的解决方案是能够加快代码开发和部署环节，往往应用在各种平台、具有不同映像提供商的供应链结构以及第三

2、方系统，能够有效解决对数据完整性强化和可靠性提升的要求.但是，这可能导致漏洞，即恶意用户云平台可能会渗透这些漏洞.资料显示，某安全研究机构发布的关于Docker镜像安全的报告约为30%的官方仓库的镜像存在安全风险，如She1.1.shockvHeartb1.eed以及Poood1.e等高危1.inux漏洞.目前，虚拟机映像的研究已经成熟，包括多播、P2P以及共享存储等技术，为码头映像的分布提供了参考.在此基础上，学术界和学术界研究和应用了码头图像分布技术.但是，Docker映像具有不同于虚拟机映像的独特特征，需要进行相应的设计和优化.同时，数据中心网络不同于互联网。在数据中心，网络速度快、延迟

3、低，服务稳定，所有节点目标相同.因此，在设计码头映像的分发方法时，还应充分利用数据中心的特点.1.2 研究现状分析目前，国内外对云环境下虚拟机映像安全性的研究相对较少.这种分图允许管理员将安全修补程序更新到基本级别（以实现更新修补程序的目的）通过分析和研究基于Docker容器的PaaS云平台的相关安全性，对比和分析基于HyPerViSor和其他容器的PaaS所不同的安全性，提出从渗透测试的多角度和多维度强化容器安全的MST.郭秉楠通过对PDFDA算法展开研究，设计了一套基于虚拟化技术的网络安全服务功能链编排系统.同时，通过分析宿主机的应用效果与容器运行环节中潜在的安全漏洞评估和差异化比对，表明

4、D。Cker容器能够实现相对于主机的攻击面更广.岑义涛从容器漏洞方向出发展开研究，总结了Docker容器哪些方面需要安全加固，如登录环节的相关信息传输、DoCker程序的提权环节安全性限制以及出入容器的相关环节流量监控防护.研究发现，与虚拟机和hypervisor相比，1.inux容器在网络、磁盘、内存管理、启动和编译速度以及总体处理性能方面显示出了极大优势.他们质疑在1.inux容器中运行服务是否比直接在基于主机的操作系统上运行服务更安全.因此，使用D。CkerV1.1.O进行了一系列实验，以评估在DoCker容器中运行服务的主机的攻击面，并将其与在本文中描述的Debian-Jessie基本

5、操作系统上运行相同服务的主机进行了比较.漏洞评估显示，容器会给主机带来新的攻击面.资料研究发现，关于DoCker容器受到的攻击往往是较严重、影响范围广泛的远程访问带来的问题，尤其是配置欠合理易引起被远程攻击者侵入并通过改变私钥进而获得入侵宿主机的root权限.学者通过相关研究，总结了DoCker容器的常有攻击主要来自于不安全的离线路径，如本地配置安全问题、安全措施不到位的访问控制手段和策略以及容器使用功能加载包含漏洞的镜像.文献提到了DoCker在网络方面的常有攻击点,包括ARP攻击、容器间的嗅探、IPtabIe的漏洞利用和对IPtabIe的饱和攻击，同时统计了公有云平台和私有云平台的安全事件

6、，发现公共使用的云平台的安全问迤更严重.针对拒绝容器服务攻击对DoCker容器的主要威胁进行研究，提出了关于Docker在拒绝服务攻击行为方面的检测与防御方案.它主要针对容器的内存资源管理使用，推荐内存限制的DoS安全防御策略.实验表明，该安全策略能够有效缓解内存资源消耗方面的DOS攻击.但是，相关研究并没有有效解决当下威胁最大的Oday、Iday漏洞的安全问题，也没有研究提出有效手段来防御该类攻击.杨文林等人的研究对象是DoCker的关键部件，通过分析DOCker容器在文件系统隔离、进程及通信隔离、设备管理及宿主机资源限制、网络隔图和镜像传输4个方面的脆弱性，针对性地对容器进行安全增强，提出

7、了部件配重和共享内核的先进理论，探究了其程序的脆弱点和风险要素，分析相关的潜在漏洞，模拟威胁点的处理方案和解决措施，构建起完整的能够高效解决现存漏洞-监控安全报警-控制措施程序错乱”的一套具备防御能力的监控报燮机制措施，形成了防御入侵攻击行为方案，但研究成果并没有论证可行性和效率的量化指标.通过1.KM技术建立和实现D。Cker容器相关的进程对，使得内核资源能够有效访问控制机制结构植架.极致化的体系构成能够从内核层建立起容器执行进程对宿主机的有效访问控制和安全预防，目实现内核代码模块对容器内执行程序进程的实时跟踪和反馈，进一步形成了操作系统层面有效拦截容器内迸程恶意程序对宿主机攻击和潜伏窃取资

8、源的访问保护。陈莉君提出了基于1.KM研究技术的一套完整的资源信息隔离措施办法，建立起能够有效调节程序劫持代码，借助程序的迸程环节,利用Cgroup信息维护、修改、读取相关的ProCFS文件内容，进而建立起能蜉完善容器内特定区域的信息资源的安全隔离防御。建议使用更高级别的抽象研究策略（主要表现在任务、匏制控制器和远程持久存储方面）以完全消除对于主机的依赖，从而促进容器实现更好的隔离.公开了一个可信增强的D。Cker容器，针对DoCker容器目前存在的镜像被算改、容器恶意进程及非授权通信问题，利用可信计算的信任链技术，构造了一条从硬件到容器内部进程和文件的信任链，同时增加了包括进程监控、文件系统

9、度量以及网络监控3大功能于一体的安全防护模块，从而全方位对DoCker进行度量与细粒度的监控，保护容器及镜像不被篡改，同时限制容器网络通信行为并监控容器内部进程，极大地提高了D。Cker容器的安全性。DhakateS分析并研究了一种基于DoCker容器的、具备轻量级、采用分布式云平台相关的安全监控机制，通过建立起检测、报告、监控以及报警等多种功能的整体架构模式，形成一套一体化的整体性云监控平台系统。Sa1.vatoreP站在前黠性的角度，分析容器监控未来和现在面临的问题和挑战，主要包括监控引擎如何应对容器生命周期的动态和快速变更，错综复杂的发展环节中如何能够实现用户更多的便捷性.因此，提升容器

10、监控系统的自动化程度，以便能够用于分布式集群环境.2Docker容器镀像安全问题镜像安全问题主要表现在镜像校验和访问控制两个方面。该像校验通常是能蜉保证镜像完整性的主要途径，从而有效避免镜像程序被篡改破坏。Docker容器的镜像仓库里所涉及的全部镜像都各自对应一个manifest特点文件这个文件主要含有镜像标签、镜像所属命名空间、程序的校验方法、镜像运行需要的信息及其文件程序的签名信息。执行环节中，用户在PUI1.镜像环节往往会多次自动进行哈希验证程序.如果通过镜像的digest来pu1.1.镜像，会得到验证manifest的digest与传入的digest是否一致.在镜像的环节中还会有man

11、ifest中镜像ID来实时获取镜像配芭文件的更新。镜像环节还能够借助配置文件内容生成digest,最后得出验证是否与镜像ID一致的结果.在下载manifest文件能够镜像后，主要是依照镜像文件具体的内容逐步计算和校验diffID相关代码,并与镜像配置文件中有关联的diffID进行进一步的比较验证环节。执行环节的每一步数据传输过后，往往都要有本地计算相关的一些校睑环节，以及同时比对与前一步保存的文件的可集结果分析.结果比对后，如果险证失败，能扬警示并伴随着输出相关警告信息，有效提醒镜像相关下载环节中可能已经出现安全问题，如文件损坏或者镜像内容被人为侵入和黛改.目前，DoCker使用一个中心蛉证服

12、务器来完成D。Cker镜像仓库的访问权限控制.通过操作每个D。Cker对应的客户端，开展相关Registry的一系列PUSh/pu1.1.操作得到正版授权文件OffiCiaIjSon文本获得registry对应的目录的相关授权信息和授权信息签名，进一步完成在DockerDaemon启动时的MemoryGtph加载。每次pu1.1.文件镜像时执行MemoryGraph验证授权信息的时效性（即是否过期），并且睑证信息的匹配性、完整性等，同时检查相关读写权限的安全性。2.1 D。Cker容器镜像安全风险2.1.1 Docker容器镜像没有统一监管除了DockerHUb外，还有大量的第三方形象仓库,如

13、网易163、中国科技大学、道云以及阿里云等.第三方图像仓库就像一个混乱的Android应用市场，缺乏统一的监管，带来了潜在的安全风险.2.1.2 镜像安全漏洞多相关研究报告显示,Docker中心超过30%的官方映像包含高风睑漏洞,其中近70%的映像包含高风睑或中等风险漏洞.2.1.3 黑客上传存在木马病毒的货像如果黑客在制作映像时嵌入特洛伊木马和后门等恶意软件，并将恶意映像上载到公共仓库（如Docker中心），则用户的容器环境从一开始就不安全.例如，Docker支持gzip、bzip2和XZ这3种压缩算法,其中Gzip和bzip2使用go标准库，因此相对安全.XZ不使用本机go实现，且使用由C

14、编写的XZuti1.s开源项目，因此存在恶意写入C程序的可能性.-旦编写，将导致执行任意代码漏洞,只要存在漏洞，当执行Docker拉取映像时，整个系统可能会被破坏.2.1.4 直接运行未经检直的镜像设计编程者通常从Docker的官方Docker中心存储库下载映像，其中一些图像来自开发图像中相应软件的官方组织，但大量图像来自第三方组织甚至个人。在应用程序的整个生命周期中，设计编程者、测试人员、操作人员和维护人员会根据不同的要求下载和运行映像，因此在容器运行前检查映像非常重要。如果直接运行未选中的映像，可能会给生成环境带来安全风险.2.2 D。Cker镜像分析为了设计一个适合码头图像特征的分布系统

15、，有必要深刻认识图像特征和图像层的分布。然而，当前对于图像特征和图像层的分布没有系统的统计和研究.为了深入理解码头图像特征，设计更符合码头图像特征的分布系统，下面分析码头图像的属性.2.2.1 镜像大小分布通过收集多方数据，大多数图像在WOMB和1GB之间，图像平均大小为386MB.与虚拟机映像的GB级别相比,它并不大.但是，随若Docker技术的日益普及，以及运行D。Cker容器的群集数量和规模不断熠加，应用程序可能需要启动数万台计算机进行部署.如果众多服务器同时下载DoCker映像，将影响D。Cker映像仓库的工作效率，且在正常情况下不能提供足够的下载量，进而影响整个集群的工作效率.2.2

16、.2 镜像的相似性DoCker镜像采用分层机制，因此多个镜像层可能公用一个基础镜像层。在所统计的镜像中，约35%的镜像有一个共同的、大小为125MB的镜像层。这些镜像分别为ngin.registry,redis.mysq1.node、postgres.wordpress,e1.asticsearchxrabbitmqxjenkins以及1.ogstash.可以看到，具有公共镜像层的图像很常见，镜像层的大小占整个图像的很大比例.因此，当主机需要下载图像时，在下载其他图像时可能下载了图像的一些图层.Docker映像的这个功能更有利于BT协议下载模式。由于某些计算机可能下载了一些图像层，因此这些计算机可以用作种子服务器。它可以为没有镜像层的其他主机提供数据，进一步减轻了仓库压力，加快了整个群集的下载和传输速度.2.3 D。Cker容器配置安全风险2.3.1 Docker守护进程配置风险按照Dock