在上周举行的美国2020年黑帽在线会议上,来自Palo Alto Networks Unit 42的研究人员披露了他们是如何使恶意代码从利用轻量级虚拟机隔离工作负载的Kata Container运行时环境中逃脱的。
理论上,如果网络攻击从容器中爆发出来,它仍然应该局限于虚拟机。然而,Unit 42的研究人员展示了多种方法来破坏Kata Container运行时和底层主机。一些云服务提供商依靠Kata Container来隔离容器工作负载。
Unit 42的高级研究员Yuval Avrahami说,这一漏洞已经通过与Kata Container社区的合作得到了补救。
Avrahami说,Unit 42的研究人员能够找到多种方法来突破Kata Container,这一事实表明IT团队不应该想当然地认为那些创建沙盒来隔离容器的平台足以确保安全性。
作为传统虚拟机的替代方案,人们对更轻重量的容器安全方法的兴趣正在上升。显然,我们确实需要轻量级虚拟机平台来隔离组织中的容器,作为传统虚拟机的替代方案——传统虚拟机主要用于运行托管单体应用程序的访客操作系统。而容器只需要一个轻量级虚拟机就可以将一个容器工作负载与另一个容器工作负载隔离开来。
轻量级虚拟机的整体采用仍处于初级阶段。然而,随着IT团队探索替代VMware的商业虚拟机(需要获得许可)或使用过多基础设施的开源虚拟机,有关如何最好地保护容器的争论正在加剧。
理论上,使用容器构建的应用程序更安全,因为它更容易撕毁和替换可能被恶意代码破坏的容器。问题是,开发人员可能会从他们认为安全的存储库中取出已经受损的容器。Avrahami说,除非采用额外的安全层来确保恶意软件不会在IT环境中横向移动,否则恶意代码很有可能会危害容器主机。
Unit 42的研究人员前不久还披露了一个已知的网络安全缺陷如何在运行旧版本的Kubernetes时被用来接管整个集群。
与任何新兴平台一样,容器安全问题也越来越突出。IT环境中部署的容器数量正在迅速增加。然而,许多组织仍然不完全了解网络安全的含义。
目前还不清楚这些漏洞实际被利用的程度。然而,黑客们已经盯上了容器。
原文链接:
https://containerjournal.com/topics/container-security/palo-alto-networks-discloses-kata-container-flaws/
