Day-107-容器安全基础

# Day 93: 容器安全基础

> 系统安全系列第 3 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ 容器安全基础 - Day 93              │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。容器安全是云原生时代的核心——核心不稳，云原生不稳。

---

## 清单 目录

1. [容器安全概述](#容器安全概述)
2. [Docker 安全基础](#docker 安全基础)
3. [镜像安全](#镜像安全)
4. [容器运行时安全](#容器运行时安全)
5. [Kubernetes 安全基础](#kubernetes 安全基础)
6. [容器网络安全](#容器网络安全)
7. [容器存储安全](#容器存储安全)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 容器安全概述

### 容器安全重要性

> ▎ 容器是云原生的基石。基石不安全，云原生就不安全。

**为什么容器安全重要**：
```
1. 容器普及率高
   - 80%+ 企业使用容器
   - 微服务基础
   - 云原生标准

2. 攻击面大
   - 镜像漏洞
   - 运行时漏洞
   - 编排漏洞

3. 安全影响范围广
   - 单容器沦陷 → 集群渗透
   - 权限提升 → 节点控制
   - 持久化 → 长期威胁
```

**容器安全威胁**：
```
1. 镜像漏洞
   - 基础镜像漏洞
   - 应用依赖漏洞
   - 配置错误

2. 运行时攻击
   - 容器逃逸
   - 权限提升
   - 横向移动

3. 编排平台攻击
   - API 未授权
   - 配置错误
   - 权限过大

4. 供应链攻击
   - 恶意镜像
   - 依赖污染
   - 构建过程攻击
```

### 容器安全模型

> ▎ 安全模型不是摆设——是设计原则。不按模型来，就是瞎搞。

**安全分层**：
```
镜像层：
- 基础镜像安全
- 应用安全
- 配置安全

运行时层：
- 容器隔离
- 权限控制
- 资源限制

编排层：
- API 安全
- 网络策略
- 访问控制
```

**安全原则**：
```
最小权限：
- 非 root 运行
- 最小能力
- 只读文件系统

纵深防御：
- 多层防护
- 冗余控制
- 故障安全

持续监控：
- 日志收集
- 异常检测
- 实时告警
```

---

## Docker 安全基础

### Docker 守护进程安全

> ▎ Docker 守护进程是容器的核心。核心不安全，容器就不安全。

**Docker 守护进程风险**：
```
风险：
- root 权限运行
- Socket 未保护
- API 未授权

影响：
- 容器逃逸
- 权限提升
- 完全控制
```

**Docker 配置安全**：
```bash
# /etc/docker/daemon.json
{
  "tls": true,
  "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/server-key.pem",
  "userns-remap": "default",
  "no-new-privileges": true,
  "live-restore": false
}
```

**Docker Socket 保护**：
```bash
# 查看 Socket 权限
ls -la /var/run/docker.sock

# 限制 Socket 访问
chmod 660 /var/run/docker.sock
chown root:docker /var/run/docker.sock

# 使用 TLS 保护 Docker API
# 启用 TLS 验证
```

### Docker 用户命名空间

**用户命名空间 remap**：
```bash
# 启用用户命名空间
# /etc/docker/daemon.json
{
  "userns-remap": "default"
}

# 重启 Docker
systemctl restart docker

# 验证
docker run --rm alpine id
# 应显示非 root UID
```

---

## 镜像安全

### 镜像构建安全

> ▎ 镜像安全是容器安全的第一道防线。防线破了，后面就难了。

**Dockerfile 安全最佳实践**：
```dockerfile
# 使用官方基础镜像
FROM alpine:latest

# 指定具体版本
FROM alpine:3.18

# 不运行 root
RUN adduser -D appuser
USER appuser

# 只读文件系统
# 在 docker run 时使用 --read-only

# 不存储敏感信息
# 不要硬编码密码、密钥

# 多阶段构建
FROM golang:1.20 AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

FROM alpine:3.18
COPY --from=builder /app/myapp /myapp
USER nobody
CMD ["/myapp"]
```

**镜像扫描**：
```bash
# 使用 Trivy 扫描
trivy image myimage:latest

# 使用 Docker Scan
docker scan myimage:latest

# 使用 Clair
clair-scanner -c clair.yaml myimage:latest
```

### 镜像签名验证

**Docker Content Trust**：
```bash
# 启用 DCT
export DOCKER_CONTENT_TRUST=1

# 签名镜像
docker trust sign myimage:latest

# 验证签名
docker trust inspect myimage:latest

# 拉取签名镜像
docker pull myimage:latest
# 会自动验证签名
```

---

## 容器运行时安全

### 容器隔离

> ▎ 隔离是容器安全的核心。核心不稳，容器不稳。

**命名空间隔离**：
```bash
# PID 命名空间
docker run --pid=host  # 危险：共享主机 PID

# 网络命名空间
docker run --network=host  # 危险：共享主机网络

# 用户命名空间
docker run --userns=host  # 危险：共享主机用户

# 安全做法：使用默认隔离
docker run myimage
```

**能力限制**：
```bash
# 删除所有能力
docker run --cap-drop=ALL myimage

# 添加必要能力
docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE myimage

# 查看容器能力
docker exec container_id capsh --print
```

### 容器资源限制

**资源限制**：
```bash
# CPU 限制
docker run --cpus="1.5" myimage

# 内存限制
docker run --memory="512m" myimage

# 磁盘限制
docker run --storage-opt size=1g myimage

# 进程限制
docker run --pids-limit=100 myimage
```

**只读文件系统**：
```bash
# 只读根文件系统
docker run --read-only myimage

# 临时文件系统
docker run --read-only --tmpfs /tmp myimage
docker run --read-only --tmpfs /var/run myimage
```

---

## Kubernetes 安全基础

### K8s 安全架构

> ▎ K8s 安全是容器编排安全的核心。核心不安全，编排就不安全。

**安全控制**：
```
认证：
- 客户端证书
- 令牌认证
- 联合身份

授权：
- RBAC
- ABAC
- Node 授权

准入控制：
- PodSecurityPolicy
- ValidatingWebhook
- MutatingWebhook
```

**组件安全**：
```
API Server：
- 认证授权
- 加密通信
- 审计日志

etcd：
- 加密存储
- 访问控制
- 备份恢复

Kubelet：
- 认证授权
- 只读端口
- 安全配置
```

### RBAC 配置

**Role 定义**：
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
```

**RoleBinding**：
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
```

### Pod 安全

**Pod 安全上下文**：
```yaml
apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    fsGroup: 2000
  containers:
  - name: app
    image: nginx:latest
    securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true
      capabilities:
        drop:
        - ALL
```

**网络策略**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
```

---

## 容器网络安全

### 网络隔离

> ▎ 网络隔离是容器安全的城墙。城墙不牢，敌军直入。

**CNI 插件安全**：
```
Calico：
- 网络策略
- 网络策略执行
- 加密通信

Flannel：
- 简单网络
- 无网络策略
- 基本隔离

Cilium：
- eBPF 基础
- 高级策略
- 深度监控
```

**网络策略**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 80
```

---

## 容器存储安全

### 卷安全

**卷类型安全**：
```
emptyDir：
- 临时存储
- 容器生命周期
- 基本安全

hostPath：
- 主机路径
- 高风险
- 避免使用

PersistentVolume：
- 持久化存储
- 访问控制
- 加密支持
```

**卷安全配置**：
```yaml
apiVersion: v1
kind: Pod
metadata:
  name: volume-security
spec:
  containers:
  - name: app
    image: nginx
    volumeMounts:
    - name: data
      mountPath: /data
      readOnly: true  # 只读挂载
  volumes:
  - name: data
    persistentVolumeClaim:
      claimName: pvc-name
```

---

## 实战案例分析

### 案例 1: Docker Socket 逃逸

> ▎ Docker Socket 是容器的命门。命门不保，容器沦陷。

**漏洞描述**：
```
时间：持续存在
漏洞：Docker Socket 挂载
影响：容器逃逸
后果：主机完全控制
```

**攻击流程**：
```
1. 挂载 Docker Socket
   volumes:
     - /var/run/docker.sock:/var/run/docker.sock

2. 在容器内安装 Docker
   apt install docker.io

3. 创建特权容器
   docker run --privileged -it -v /:/host alpine chroot /host

4. 访问主机
   chroot /host
   # 完全控制主机
```

**防护方案**：
```yaml
# 不要挂载 Docker Socket
# 如果必须挂载，使用 TLS 保护
# 限制访问权限
volumes:
  - /var/run/docker.sock:/var/run/docker.sock:ro
```

### 案例 2: 特权容器逃逸

**漏洞描述**：
```
时间：持续存在
漏洞：特权容器
影响：容器逃逸
后果：主机完全控制
```

**攻击流程**：
```
1. 运行特权容器
   docker run --privileged -it alpine

2. 挂载主机文件系统
   mount /dev/sda1 /mnt

3. 访问主机文件
   chroot /mnt

4. 完全控制主机
```

**防护方案**：
```yaml
# 不要运行特权容器
securityContext:
  privileged: false

# 删除所有能力
securityContext:
  capabilities:
    drop:
    - ALL
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——容器安全这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**镜像安全**：
```
1. 基础镜像
   - 官方镜像
   - 最小化基础
   - 定期更新

2. 镜像扫描
   - 漏洞扫描
   - 签名验证
   - 来源验证

3. 构建安全
   - 多阶段构建
   - 不存储敏感信息
   - 非 root 运行
```

**运行时安全**：
```
1. 容器隔离
   - 命名空间
   - 能力限制
   - 资源限制

2. 只读文件系统
   - 只读根文件系统
   - 临时文件系统
   - 最小写入

3. 监控告警
   - 日志收集
   - 异常检测
   - 实时告警
```

**编排安全**：
```
1. RBAC
   - 最小权限
   - 角色绑定
   - 审计日志

2. 网络策略
   - 默认拒绝
   - 按需开放
   - 加密通信

3. Pod 安全
   - 安全上下文
   - 能力限制
   - 非 root 运行
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**云原生安全**：
```
1. 服务网格
   - Istio 安全
   - mTLS
   - 策略执行

2. Serverless
   - 函数安全
   - 事件安全
   - 依赖安全

3. 边缘计算
   - 边缘节点
   - 延迟优化
   - 安全隔离
```

**零信任容器**：
```
1. 持续验证
   - 每次访问验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 漏洞情报
   - 攻击情报
   - 威胁狩猎
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**开发人员**：
```
1. 安全编码
   - 多阶段构建
   - 非 root 运行
   - 能力限制

2. 镜像安全
   - 官方镜像
   - 漏洞扫描
   - 签名验证

3. 安全测试
   - 单元测试
   - 集成测试
   - 渗透测试
```

**安全人员**：
```
1. 容器安全测试
   - 镜像扫描
   - 运行时测试
   - 编排测试

2. 代码审计
   - Dockerfile 审计
   - K8s 配置审计
   - 网络策略审计

3. 监控告警
   - 异常检测
   - 实时告警
   - 事件响应
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- Docker Security
  https://docs.docker.com/engine/security/

- Kubernetes Security
  https://kubernetes.io/docs/concepts/security/

- CNCF Security
  https://github.com/cncf/tag-security
```

### 工具资源
```
- Trivy
  https://github.com/aquasecurity/trivy

- Falco
  https://falco.org/

- kube-bench
  https://github.com/aquasecurity/kube-bench

- kube-hunter
  https://github.com/aquasecurity/kube-hunter
```

### 书籍推荐
```
- 《容器安全》
- 《Kubernetes 安全》
- 《Container Security》
- 《Cloud Native Security》
```

### 在线资源
```
- OWASP Container Security
  https://owasp.org/www-project-container-security/

- CIS Kubernetes Benchmark
  https://www.cisecurity.org/benchmark/kubernetes

- Awesome Container Security
  https://github.com/kai5263499/awesome-container-security
```

---

**标记 明日预告**：Day 94 - 云安全基础

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 93 篇，系统安全部分第 3 篇，精编版本*