信息化觀察網(wǎng)

在上周舉行的美國(guó)2020年黑帽在線會(huì)議上，來自Palo Alto Networks Unit 42的研究人員披露了他們是如何使惡意代碼從利用輕量級(jí)虛擬機(jī)隔離工作負(fù)載的Kata Container運(yùn)行時(shí)環(huán)境中逃脫的。

理論上，如果網(wǎng)絡(luò)攻擊從容器中爆發(fā)出來，它仍然應(yīng)該局限于虛擬機(jī)。然而，Unit 42的研究人員展示了多種方法來破壞Kata Container運(yùn)行時(shí)和底層主機(jī)。一些云服務(wù)提供商依靠Kata Container來隔離容器工作負(fù)載。

Unit 42的高級(jí)研究員Yuval Avrahami說，這一漏洞已經(jīng)通過與Kata Container社區(qū)的合作得到了補(bǔ)救。

Avrahami說，Unit 42的研究人員能夠找到多種方法來突破Kata Container，這一事實(shí)表明IT團(tuán)隊(duì)不應(yīng)該想當(dāng)然地認(rèn)為那些創(chuàng)建沙盒來隔離容器的平臺(tái)足以確保安全性。

作為傳統(tǒng)虛擬機(jī)的替代方案，人們對(duì)更輕重量的容器安全方法的興趣正在上升。顯然，我們確實(shí)需要輕量級(jí)虛擬機(jī)平臺(tái)來隔離組織中的容器，作為傳統(tǒng)虛擬機(jī)的替代方案——傳統(tǒng)虛擬機(jī)主要用于運(yùn)行托管單體應(yīng)用程序的訪客操作系統(tǒng)。而容器只需要一個(gè)輕量級(jí)虛擬機(jī)就可以將一個(gè)容器工作負(fù)載與另一個(gè)容器工作負(fù)載隔離開來。

輕量級(jí)虛擬機(jī)的整體采用仍處于初級(jí)階段。然而，隨著IT團(tuán)隊(duì)探索替代VMware的商業(yè)虛擬機(jī)（需要獲得許可）或使用過多基礎(chǔ)設(shè)施的開源虛擬機(jī)，有關(guān)如何最好地保護(hù)容器的爭(zhēng)論正在加劇。

理論上，使用容器構(gòu)建的應(yīng)用程序更安全，因?yàn)樗菀姿簹Ш吞鎿Q可能被惡意代碼破壞的容器。問題是，開發(fā)人員可能會(huì)從他們認(rèn)為安全的存儲(chǔ)庫(kù)中取出已經(jīng)受損的容器。Avrahami說，除非采用額外的安全層來確保惡意軟件不會(huì)在IT環(huán)境中橫向移動(dòng)，否則惡意代碼很有可能會(huì)危害容器主機(jī)。

Unit 42的研究人員前不久還披露了一個(gè)已知的網(wǎng)絡(luò)安全缺陷如何在運(yùn)行舊版本的Kubernetes時(shí)被用來接管整個(gè)集群。

與任何新興平臺(tái)一樣，容器安全問題也越來越突出。IT環(huán)境中部署的容器數(shù)量正在迅速增加。然而，許多組織仍然不完全了解網(wǎng)絡(luò)安全的含義。

目前還不清楚這些漏洞實(shí)際被利用的程度。然而，黑客們已經(jīng)盯上了容器。

原文鏈接：

https://containerjournal.com/topics/container-security/palo-alto-networks-discloses-kata-container-flaws/