威脅框架：細粒度對抗威脅框架：細粒度對抗服務器、工作站、桌面、便攜機、智能移動終端、虛終端檢測與響應系主機側威脅檢測阻斷系統、主機日志采集分析、主機服務器、工作站、桌面、便攜機、智能移動終端、虛終端檢測與響應系主機側威脅檢測阻斷系統、主機日志采集分析、主機容器安全系統終端防御系統（EPP）終端準入系統主機安全主機安全審計系統驅動級主防系統、分布式防火墻系統、Page2CONTENTSCONTENTS03針對容器和微服務的新型防御威脅框架：細粒度對抗威脅框架：細粒度對抗01云模式的最新趨勢和防御特點威脅框架：細粒度對抗Page5威脅框架：細粒度對抗容器簡介?硬件全虛擬化–KVM、VMware、Hyper-V、Xen等?軟件“輕”虛擬化–Docker?Windows容器不建議在生產環微服務的特點Page6威脅框架：細粒度對抗威脅框架：細粒度對抗云模式下的開發運維一體化?開發/交付?開發人員：提交結果，輸出容器鏡像?測試人員：獲取鏡像并啟動容器測試?“CI”指持續集成，它屬于開發人員的自動化流程?“CD”指的是持續交付和/或持續部署?自應用開發階段引入自動化來頻繁向客戶交付應用的方法(網絡文獻)Page7威脅框架：細粒度對抗威脅框架：細粒度對抗新型云環境安全防御的特點?容器的自身安全?容器的不可變性?微服務容器的業務特點Page8威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗02容器相關的典型安全威脅Page10云平臺漏洞案例統計icloud艷照門事件微軟承認遭受solarwinds事件影響2019年，我國境內云遭受DDoS攻擊次數占我國境內目標遭受DD被植入后門數占我國境內被植入后門總數的86被篡改網頁數占我國境內被篡改網頁總數的87受木馬或僵尸網絡控制的IP地址占我國境內受木馬或僵尸網絡控制的IP地址總數的1.云安全對企業的戰略意義凸顯；AI等預測技術成為安全防護的重點；相關法律法規明確安全發展三大方向：安全合規、數據保護、可信計算和加密算法。虛擬化技術漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（虛擬化技術漏洞1.KVMQEMU逃逸（CVE-2020-14364）。2.vmware逃逸（CVE-2017-4901）。1.Docker配置導致未授權訪問漏洞a.由內核引起（CVE-2016-5196Docker使用了低版本內核導致容器可被逃逸b.容器本身漏洞，導致被逃逸（CVE-2019-5736）c.配置逃逸微服務漏洞1.springboot配置不當導致未授權訪問ge112.ApacheDubbo反序列化漏洞（CVE-2019-17564、CVE-2020-1948）；3.shrio反序列化漏洞（CVE-2016-4437、CVE-2019-12422）虛擬化技術漏洞統計微服務相關框架漏洞統計Java框架Spring DubboDropwizardAkka2211Net虛擬化技術漏洞統計微服務相關框架漏洞統計Java框架Spring DubboDropwizardAkka2211Net相關微服.NetCore34務框架ServiceFabric1Surging0MircrodotFramework0Node.js相關Seneca2微服務框架Hapi10Restify2Loopback2Go相關微服Go-Kit0務框架(無漏Goa0洞)Dubbogo0KVM74DockerHyper-V98XEN490VMware479國內外主流云廠商漏洞統計亞馬遜云70谷歌云4微軟云78阿里云5騰訊云1華為云12百度云0天翼云0分布式基礎組件漏洞統計Elasticsearch70opencron4Hadoop78HBase5Zabbix1Open-Falcon12Page12Flume0Page12ClickHouse0Zipkin70Pinpoint4Memcache78RabbitMQ5RocketMQ1ActiveMQ12HDFS0Spark0威脅框架：細粒度對抗Page13威脅框架：細粒度對抗案例一：Shiro-550反序列化漏洞分析?漏洞影響攻擊者可以使用它來獲得應用所在容器的控制權限。?處理結果Page14據AES初始化向量Page15案例一：反序列化漏洞利用通過ls-alh/.dockerenv可識別目標服務案例一：漏洞威脅捕獲?版本選型，通過對開源組件、庫等的漏洞掃描，提前捕獲低版本依賴中的漏洞，以確認相關安全版本?處理http數據請求，比如:apache.catalina.core.ApplicationFilterChain.doFilter()?構造反序列化的過程中，會利用Java語言本身的特性構造gadget，而他的執行流程和正常業務邏輯Page16威脅框架：細粒度對抗威脅框架：細粒度對抗案例二：Docker容器逃逸安全漏洞分析?漏洞影響?漏洞影響在默認設置下運行的Docker容器，并且攻擊者可以使用它來獲得主機上的root級訪?處理結果?目前該漏洞已經修補，大于此版本的DockePage17威脅框架：細粒度對抗威脅框架：細粒度對抗Page18案例二：Docker容器逃逸安全漏洞分析容器里面被啟動一份，因此攻擊者利用容器容器里面被啟動一份，因此攻擊者利用容器共享系統內核對象的機制，遍歷容器內進程安全風險分析容器加固方案Page19容器內覆蓋目標文件為#!/proc/self/exe這樣的腳本內容案例二：Docker容器逃逸安全漏洞分析容器內覆蓋目標文件為#!/proc/self/exe這樣的腳本內容攻擊者使用高級語言編寫PoC。通過O_PATH標志,忽略權限打開runc所在/proc/${pid}/exe的fd。然后在從文件標識符中（/proc/self/fd/${fd候會覆蓋宿主機上的runc文件Page20案例二：Docker容器逃逸安全漏洞分析最新云環境的安全風險抓取內容、分發垃圾郵件、運行分布式拒絕服務攻擊等行為的機器人）都是研究表明，在這些任務中，更受歡迎的是加密貨幣挖礦（cryptomining），在某種程度Page21威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗8威脅框架：細粒度對抗87677454數據來源阿里云Page22威脅框架：細粒度對抗威脅框架：細粒度對抗針對容器和微服務的新型防御編碼階段防御措施?Page24威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗發布階段防御措施