Day-063-容器安全基础

# Day 61: 容器安全基础

> Web 安全系列第 31 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [容器安全概述](#容器安全概述)
2. [Docker 安全架构](#docker 安全架构)
3. [镜像安全](#镜像安全)
4. [容器运行时安全](#容器运行时安全)
5. [编排平台安全](#编排平台安全)
6. [Kubernetes 安全基础](#kubernetes 安全基础)
7. [容器网络安全](#容器网络安全)
8. [容器漏洞管理](#容器漏洞管理)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 容器安全概述

### 容器技术基础

**什么是容器**：
```
容器是一种轻量级的虚拟化技术，
将应用及其依赖打包在一起，
实现一次构建、到处运行。

特点：
- 轻量级（共享内核）
- 快速启动（秒级）
- 可移植性（跨平台）
- 资源隔离（命名空间、cgroups）
```

**容器 vs 虚拟机**：
```
虚拟机：
- 完整操作系统
- 资源开销大
- 启动慢（分钟级）
- 强隔离

容器：
- 共享主机内核
- 资源开销小
- 启动快（秒级）
- 中等隔离
```

**容器技术栈**：
```
运行时：
- Docker
- containerd
- CRI-O

编排平台：
- Kubernetes
- Docker Swarm
- Nomad

注册表：
- Docker Hub
- Harbor
- ECR/ACR/GCR
```

### 容器安全重要性

**为什么容器安全重要**：
```
1. 广泛采用
   - 云原生应用标配
   - 微服务架构基础
   - 大规模部署

2. 攻击面大
   - 镜像漏洞
   - 配置错误
   - 运行时攻击

3. 影响严重
   - 生产环境
   - 敏感数据
   - 业务连续性
```

**容器安全威胁**：
```
1. 镜像漏洞
   - 基础镜像漏洞
   - 应用依赖漏洞
   - 配置错误

2. 运行时攻击
   - 容器逃逸
   - 权限提升
   - 横向移动

3. 编排平台攻击
   - API 未授权
   - 配置错误
   - 权限过大

4. 供应链攻击
   - 恶意镜像
   - 依赖污染
   - 构建过程攻击
```

**真实案例**：
```
案例 1: Docker Hub 恶意镜像（2019）
- 漏洞：恶意镜像
- 影响：2000+ 下载
- 手法：加密货币挖矿
- 后果：资源滥用

案例 2: Kubernetes API 未授权（2018）
- 漏洞：API 未保护
- 影响：数千集群
- 手法：未授权访问
- 后果：集群沦陷

案例 3: Tesla Kubernetes 沦陷（2018）
- 漏洞：K8s Dashboard 未保护
- 影响：挖矿攻击
- 手法：未授权访问
- 后果：计算资源滥用
```

---

## Docker 安全架构

### Docker 安全模型

**命名空间隔离**：
```
PID 命名空间：
- 进程隔离
- 独立 PID 空间
- 看不到主机进程

网络命名空间：
- 网络隔离
- 独立网络栈
- 独立端口空间

挂载命名空间：
- 文件系统隔离
- 独立挂载点
- 根目录隔离

用户命名空间：
- 用户 ID 映射
- 容器内 root ≠ 主机 root
- 权限限制
```

**控制组（cgroups）**：
```
资源限制：
- CPU 限制
- 内存限制
- 磁盘 I/O 限制
- 网络带宽限制

作用：
- 防止资源耗尽
- 公平资源分配
- 性能保障
```

**能力（Capabilities）**：
```
Linux 能力：
- CAP_NET_RAW
- CAP_SYS_ADMIN
- CAP_CHOWN
- 等 40+ 种能力

Docker 默认：
- 保留必要能力
- 删除危险能力
- 可自定义
```

### Docker 守护进程安全

**守护进程风险**：
```
Docker Daemon：
- root 权限运行
- 完全系统访问
- API 未保护风险

攻击面：
- Docker Socket
- Remote API
- 网络监听
```

**安全配置**：
```
1. 保护 Docker Socket
   - 限制访问
   - 权限控制
   - 不暴露网络

2. 启用 TLS
   - 客户端认证
   - 服务器认证
   - 加密通信

3. 限制 API 访问
   - 认证要求
   - 授权控制
   - 审计日志
```

**最佳实践**：
```
1. 不暴露 Docker Daemon
   - 不监听 0.0.0.0
   - 使用 TLS
   - 防火墙限制

2. 使用用户命名空间
   - 启用 remap
   - root 映射
   - 权限限制

3. 启用安全模块
   - AppArmor
   - SELinux
   - Seccomp
```

---

## 镜像安全

### 镜像漏洞

**漏洞来源**：
```
基础镜像：
- OS 漏洞
- 系统包漏洞
- 配置错误

应用依赖：
- 第三方库
- 框架漏洞
- 依赖链漏洞

配置问题：
- 硬编码凭证
- 不安全配置
- 敏感信息
```

**漏洞扫描**：
```
工具：
1. Trivy
   - 快速扫描
   - 多格式支持
   - CI/CD 集成

2. Clair
   - 静态分析
   - 漏洞数据库
   - 自动更新

3. Anchore
   - 策略检查
   - 合规检查
   - 企业功能
```

**扫描流程**：
```bash
# 使用 Trivy
trivy image nginx:latest

# 使用 Clair
clair-scanner -c clair.yaml nginx:latest

# 使用 Docker Scan
docker scan nginx:latest
```

### 镜像最佳实践

**基础镜像选择**：
```
推荐：
- Alpine（最小化）
- Distroless（无 shell）
- 官方镜像

避免：
- 过时镜像
- 非官方镜像
- 未维护镜像
```

**镜像构建**：
```dockerfile
# 使用多阶段构建
FROM golang:1.19 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

FROM alpine:latest
COPY --from=builder /app/myapp /myapp
CMD ["/myapp"]

# 使用非 root 用户
RUN adduser -D appuser
USER appuser

# 不存储敏感信息
# 使用构建参数
ARG API_KEY
ENV API_KEY=$API_KEY
```

**镜像签名**：
```
Docker Content Trust：
- 镜像签名
- 完整性验证
- 来源验证

启用 DCT：
export DOCKER_CONTENT_TRUST=1

签名镜像：
docker trust sign image:tag
```

### 镜像仓库安全

**访问控制**：
```
认证：
- 用户认证
- 服务账户
- 令牌认证

授权：
- 角色管理
- 权限控制
- 资源隔离

审计：
- 操作日志
- 访问日志
- 变更跟踪
```

**漏洞扫描集成**：
```
Harbor：
- 内置扫描
- 策略执行
- 漏洞告警

ECR/ACR/GCR：
- 原生扫描
- 漏洞报告
- 合规检查

最佳实践：
- 推送前扫描
- 拉取前验证
- 定期扫描
```

---

## 容器运行时安全

### 容器逃逸

**逃逸技术**：
```
内核漏洞：
- Dirty COW
- Overlay2 漏洞
- 其他内核漏洞

配置错误：
- 特权容器
- 挂载敏感目录
- 能力过大

攻击向量：
- Docker Socket
- 共享命名空间
- 设备访问
```

**逃逸检测**：
```
异常行为：
- 容器访问主机文件
- 容器执行主机命令
- 容器网络连接异常

检测工具：
- Falco
- Sysdig
- Aqua Security
```

**防护策略**：
```
1. 不运行特权容器
   --privileged=false

2. 限制挂载
   - 不挂载 Docker Socket
   - 不挂载敏感目录
   - 只读挂载

3. 限制能力
   --cap-drop=ALL
   --cap-add=NET_BIND_SERVICE
```

### 运行时监控

**Falco 规则**：
```yaml
- rule: Container Shell Spawned
  desc: A shell was spawned in a container
  condition: spawned_process and container
  output: "Shell spawned in container (user=%user.name container=%container.id)"
  priority: WARNING
  tags: [shell, container]

- rule: Sensitive File Access
  desc: Access to sensitive file
  condition: sensitive_files and container
  output: "Sensitive file accessed (user=%user.name file=%fd.name)"
  priority: ERROR
```

**监控指标**：
```
系统指标：
- CPU 使用率
- 内存使用率
- 磁盘 I/O
- 网络流量

安全指标：
- 异常进程
- 文件访问
- 网络连接
- 系统调用
```

---

## 编排平台安全

### Kubernetes 安全架构

**安全控制**：
```
认证：
- 客户端证书
- 令牌认证
- 联合身份

授权：
- RBAC
- ABAC
- Node 授权

准入控制：
- PodSecurityPolicy
- ValidatingWebhook
- MutatingWebhook
```

**组件安全**：
```
API Server：
- 认证授权
- 加密通信
- 审计日志

etcd：
- 加密存储
- 访问控制
- 备份恢复

Kubelet：
- 认证授权
- 只读端口
- 安全配置
```

### 集群安全配置

**API Server 安全**：
```
1. 启用认证
   --anonymous-auth=false
   --token-auth-file=/path/to/tokens.csv

2. 启用授权
   --authorization-mode=Node,RBAC

3. 启用审计
   --audit-log-path=/var/log/kubernetes/audit.log
   --audit-policy-file=/etc/kubernetes/audit-policy.yaml
```

**etcd 安全**：
```
1. 加密通信
   --cert-file=/path/to/server.crt
   --key-file=/path/to/server.key
   --trusted-ca-file=/path/to/ca.crt

2. 访问控制
   --client-cert-auth=true
   --peer-client-cert-auth=true

3. 加密存储
   --encryption-provider-config=/path/to/config.yaml
```

**Kubelet 安全**：
```
1. 认证授权
   --authentication-token-webhook=true
   --authorization-mode=Webhook

2. 只读端口
   --read-only-port=0

3. 安全配置
   --protect-kernel-defaults=true
   --make-iptables-util-chains=true
```

---

## Kubernetes 安全基础

### RBAC 配置

**角色定义**：
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
```

**角色绑定**：
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
```

**最佳实践**：
```
1. 最小权限
   - 只授予必要权限
   - 避免 cluster-admin
   - 定期审查

2. 命名空间隔离
   - 按团队/应用
   - 资源配额
   - 网络策略

3. 服务账户
   - 独立服务账户
   - 最小权限
   - 自动轮换
```

### Pod 安全

**安全上下文**：
```yaml
apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    fsGroup: 2000
  containers:
  - name: app
    image: nginx
    securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
      capabilities:
        drop:
        - ALL
```

**Pod 安全策略**：
```yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
spec:
  privileged: false
  allowPrivilegeEscalation: false
  requiredDropCapabilities:
  - ALL
  volumes:
  - 'configMap'
  - 'emptyDir'
  - 'secret'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  runAsUser:
    rule: 'MustRunAsNonRoot'
  seLinux:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'
```

### 网络策略

**网络隔离**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
```

**允许特定流量**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 80
```

---

## 容器网络安全

### 网络模型

**Docker 网络**：
```
网络类型：
- Bridge（默认）
- Host（共享主机网络）
- None（无网络）
- Overlay（跨主机）

安全考虑：
- 网络隔离
- 端口暴露
- 流量加密
```

**Kubernetes 网络**：
```
网络模型：
- Pod 到 Pod
- Pod 到 Service
- 外部到 Pod

安全考虑：
- 网络策略
- Service Mesh
- 加密通信
```

### 网络加密

**mTLS**：
```
服务网格：
- Istio
- Linkerd
- Consul Connect

功能：
- 自动 mTLS
- 身份认证
- 流量加密
```

**传输加密**：
```
TLS 配置：
- Ingress TLS
- Service TLS
- Pod 到 Pod TLS

证书管理：
- cert-manager
- 自动续签
- 证书轮换
```

---

## 容器漏洞管理

### 漏洞扫描

**CI/CD 集成**：
```yaml
# GitLab CI
stages:
- test
- security

security_scan:
  stage: security
  image: aquasec/trivy:latest
  script:
  - trivy image --exit-code 1 myapp:latest

# GitHub Actions
- name: Scan image
  uses: aquasecurity/trivy-action@master
  with:
    image-ref: 'myapp:latest'
    exit-code: '1'
```

**持续监控**：
```
运行时扫描：
- 镜像扫描
- 配置扫描
- 合规扫描

告警通知：
- 漏洞告警
- 配置告警
- 合规告警
```

### 漏洞修复

**修复流程**：
```
1. 漏洞评估
   - 严重性评级
   - 影响范围
   - 修复优先级

2. 镜像更新
   - 基础镜像更新
   - 依赖更新
   - 重新构建

3. 部署更新
   - 滚动更新
   - 蓝绿部署
   - 金丝雀发布
```

**自动化修复**：
```
Dependabot：
- 自动检测
- 自动 PR
- 自动合并

Renovate：
- 依赖更新
- 自动 PR
- 自定义规则
```

---

## 防护策略与最佳实践

### 安全开发生命周期

**设计阶段**：
```
威胁建模：
- 识别威胁
- 风险评估
- 缓解措施

安全设计：
- 最小权限
- 纵深防御
- 默认安全
```

**开发阶段**：
```
安全编码：
- 安全库使用
- 输入验证
- 错误处理

镜像构建：
- 多阶段构建
- 最小基础
- 不存储秘密
```

**部署阶段**：
```
安全检查：
- 镜像扫描
- 配置检查
- 合规检查

运行时保护：
- 运行时监控
- 异常检测
- 自动响应
```

### 安全运营

**持续监控**：
```
指标监控：
- 资源使用
- 性能指标
- 安全指标

日志管理：
- 集中收集
- 长期存储
- 实时分析

告警管理：
- 告警规则
- 告警路由
- 告警响应
```

**事件响应**：
```
响应流程：
1. 检测
2. 分析
3. 遏制
4. 根除
5. 恢复
6. 总结

自动化响应：
- 自动遏制
- 自动取证
- 自动修复
```

---

## 总结与思考

### 核心要点回顾

1. **镜像安全**
   - 漏洞扫描
   - 签名验证
   - 最佳实践

2. **运行时安全**
   - 容器逃逸防护
   - 运行时监控
   - 安全配置

3. **编排安全**
   - RBAC 配置
   - 网络策略
   - Pod 安全

### 深入思考问题

1. **Serverless 容器**？
   - Fargate
   - Cloud Run
   - 安全影响

2. **服务网格安全**？
   - mTLS
   - 策略执行
   - 可观测性

3. **GitOps 安全**？
   - 配置管理
   - 版本控制
   - 自动化部署

### 实战建议

**开发人员**：
1. 安全镜像构建
2. 漏洞扫描
3. 安全配置
4. 最小权限

**安全人员**：
1. 持续监控
2. 漏洞管理
3. 合规检查
4. 事件响应

**运维人员**：
1. 安全配置
2. 补丁管理
3. 备份恢复
4. 性能优化

---

## 参考资料

### 学习资源
- [Docker Security](https://docs.docker.com/engine/security/)
- [Kubernetes Security](https://kubernetes.io/docs/concepts/security/)
- [CNCF Security](https://github.com/cncf/tag-security)

### 工具资源
- [Trivy](https://github.com/aquasecurity/trivy)
- [Falco](https://falco.org/)
- [Kubesec](https://kubesec.io/)
- [Popeye](https://github.com/derailed/popeye)

### 书籍推荐
- 《容器安全》
- 《Kubernetes 安全》
- 《Docker 安全实战》
- 《Cloud Native Security》

### 在线资源
- [OWASP Kubernetes Security](https://owasp.org/www-project-kubernetes-security/)
- [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/)
- [Awesome Container Security](https://github.com/kai5263499/awesome-container-security)

---

**标记 明日预告**：Day 62 - Docker 安全实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 61 篇，Web 安全部分第 31 篇，精编版本*