Day-100-容器安全进阶

# Day 103: 容器安全进阶

> 系统安全系列第 8 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ 容器安全进阶 - Day 103             │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。容器安全进阶是容器安全的核心——核心不稳，容器不稳。

---

## 清单 目录

1. [容器安全进阶概述](#容器安全进阶概述)
2. [Docker 安全进阶](#docker 安全进阶)
3. [Kubernetes 安全进阶](#kubernetes 安全进阶)
4. [镜像安全进阶](#镜像安全进阶)
5. [运行时安全进阶](#运行时安全进阶)
6. [网络策略进阶](#网络策略进阶)
7. [密钥管理进阶](#密钥管理进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 容器安全进阶概述

### 容器安全演进

> ▎ 容器安全不是静态的——是演进的。不演进，就被淘汰。

**安全阶段**：
```
阶段 1: 镜像安全
- 基础镜像
- 漏洞扫描
- 签名验证

阶段 2: 运行时安全
- 容器隔离
- 权限控制
- 资源限制

阶段 3: 编排安全
- Kubernetes
- 网络策略
- 密钥管理
```

**安全趋势**：
```
趋势 1: 零信任容器
- 持续验证
- 微隔离
- 动态授权

趋势 2: 云原生安全
- 服务网格
- Serverless
- 边缘计算

趋势 3: 自动化安全
- 安全即代码
- 自动化测试
- 持续监控
```

---

## Docker 安全进阶

### Docker 守护进程安全

> ▎ Docker 守护进程是容器的核心。核心不安全，容器就不安全。

**TLS 配置**：
```bash
# 生成 CA
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

# 生成服务器密钥
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

# 生成客户端密钥
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem

# 配置 Docker
# /etc/docker/daemon.json
{
  "tls": true,
  "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server-cert.pem",
  "tlskey": "/etc/docker/server-key.pem"
}
```

**用户命名空间**：
```bash
# 启用用户命名空间
# /etc/docker/daemon.json
{
  "userns-remap": "default"
}

# 创建映射用户
usermod -v 100000:100000 dockremap

# 重启 Docker
systemctl restart docker
```

### Seccomp 配置

**Seccomp 配置文件**：
```json
{
  "defaultAction": "SCMP_ACT_ERRNO",
  "syscalls": [
    {
      "name": "accept",
      "action": "SCMP_ACT_ALLOW",
      "args": null
    },
    {
      "name": "access",
      "action": "SCMP_ACT_ALLOW",
      "args": null
    }
  ]
}
```

**使用 Seccomp**：
```bash
# 运行容器时使用 Seccomp
docker run --security-opt seccomp=/path/to/seccomp.json alpine

# 禁用 Seccomp（危险）
docker run --security-opt seccomp=unconfined alpine
```

---

## Kubernetes 安全进阶

### Pod 安全策略

> ▎ Pod 安全策略是 Kubernetes 安全的核心。核心不稳，K8s 不稳。

**PSP 配置**：
```yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
spec:
  privileged: false
  allowPrivilegeEscalation: false
  requiredDropCapabilities:
  - ALL
  volumes:
  - 'configMap'
  - 'emptyDir'
  - 'projected'
  - 'secret'
  - 'downwardAPI'
  - 'persistentVolumeClaim'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  runAsUser:
    rule: 'MustRunAsNonRoot'
  seLinux:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
```

**PSP 使用**：
```yaml
# 创建 Role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: use-restricted-psp
  namespace: default
rules:
- apiGroups: ['policy']
  resources: ['podsecuritypolicies']
  verbs: ['use']
  resourceNames:
  - restricted

# 绑定到 ServiceAccount
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: use-restricted-psp
  namespace: default
roleRef:
  kind: Role
  name: use-restricted-psp
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
```

### 网络策略进阶

**默认拒绝策略**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress
```

**允许特定流量**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 80
  - from:
    - namespaceSelector:
        matchLabels:
          name: monitoring
    ports:
    - protocol: TCP
      port: 9090
```

**出口控制**：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-external
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector: {}
    ports:
    - protocol: TCP
      port: 443
```

---

## 镜像安全进阶

### 镜像扫描

> ▎ 镜像扫描是镜像安全的基础。基础不稳，镜像不稳。

**Trivy 配置**：
```bash
# 扫描镜像
trivy image myimage:latest

# 扫描文件系统
trivy fs /path/to/app

# 扫描仓库
trivy repo /path/to/repo

# 生成报告
trivy image --format table --output report.txt myimage:latest
```

**Clair 配置**：
```yaml
# Clair 配置文件
clair-config.yaml:
  indexer:
    conninfo: "host=localhost port=5432 user=clair password=clair dbname=clair sslmode=disable"
  matcher:
    conninfo: "host=localhost port=5432 user=clair password=clair dbname=clair sslmode=disable"
```

### 镜像签名

**Notary 配置**：
```bash
# 初始化仓库
notary init docker.io/myrepo/myimage

# 添加签名
docker trust sign docker.io/myrepo/myimage:latest

# 验证签名
docker trust inspect docker.io/myrepo/myimage:latest
```

**Cosign 配置**：
```bash
# 生成密钥
cosign generate-key-pair

# 签名镜像
cosign sign -key cosign.key myimage:latest

# 验证签名
cosign verify -key cosign.pub myimage:latest
```

---

## 运行时安全进阶

### Falco 配置

> ▎ Falco 是容器运行时安全的核心。核心不稳，运行时不稳。

**Falco 安装**：
```bash
# Helm 安装
helm install falco falcosecurity/falco \
  --set falcosidekick.enabled=true \
  --set falcosidekick.config.slack.webhookurl=https://hooks.slack.com/services/xxx
```

**规则配置**：
```yaml
# /etc/falco/falco_rules.yaml
- rule: Shell Spawned in Container
  desc: Detect shell spawned in container
  condition: spawned_process and container
  output: Shell spawned in container (user=%user.name container=%container.id)
  priority: WARNING
  tags: [shell, container]
```

### 运行时监控

**系统调用监控**：
```yaml
# Falco 系统调用规则
- rule: Detect敏感文件访问
  desc: Detect sensitive file access
  condition: open_read and (fd.name startswith /etc/shadow or fd.name startswith /etc/passwd)
  output: Sensitive file accessed (user=%user.name file=%fd.name)
  priority: ERROR
```

**网络监控**：
```yaml
# 网络连接监控
- rule: Detect 异常网络连接
  desc: Detect abnormal network connection
  condition: outbound and not (fd.sip.name in (allowed_domains))
  output: Abnormal network connection (user=%user.name dest=%fd.sip)
  priority: WARNING
```

---

## 网络策略进阶

### Istio 网络策略

> ▎ Istio 是服务网格的事实标准。不用 Istio，就用其他，但必须用服务网格。

**授权策略**：
```yaml
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: default
spec:
  selector:
    matchLabels:
      app: api-service
  action: ALLOW
  rules:
  - from:
    - source:
        requestPrincipals: ["*"]
    to:
    - operation:
        methods: ["GET", "POST"]
        paths: ["/api/*"]
```

**速率限制**：
```yaml
apiVersion: config.istio.io/v1alpha2
kind: quota
metadata:
  name: requestquota
  namespace: istio-system
spec:
  rules:
  - dimensions:
      source: request.headers["x-api-key"]
      destination: destination.labels["app"]
    maxAmounts:
    - amount: 100
      validDuration: 1m
```

---

## 密钥管理进阶

### Vault 集成

> ▎ Vault 是密钥管理的事实标准。不用 Vault，就用其他，但必须管理好密钥。

**Vault 安装**：
```bash
# Helm 安装
helm install vault hashicorp/vault \
  --set server.dev.enabled=true
```

**Kubernetes 集成**：
```yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: vault-auth
  namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: role-tokenreview-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
- kind: ServiceAccount
  name: vault-auth
  namespace: default
```

**密钥注入**：
```yaml
apiVersion: v1
kind: Pod
metadata:
  name: app
  annotations:
    vault.hashicorp.com/agent-inject: "true"
    vault.hashicorp.com/agent-inject-secret-config.json: 'secret/data/app/config'
    vault.hashicorp.com/agent-inject-template-config.json: |
      {{- with secret "secret/data/app/config" -}}
      {
        "password": "{{ .Data.data.password }}"
      }
      {{- end }}
spec:
  serviceAccountName: vault-auth
  containers:
  - name: app
    image: app-image
    volumeMounts:
    - name: config
      mountPath: /etc/config
      readOnly: true
  volumes:
  - name: config
    emptyDir: {}
```

---

## 实战案例分析

### 案例 1: 容器逃逸

> ▎ 容器逃逸是最严重的容器安全事件。最严重，也最难防。

**漏洞描述**：
```
时间：2020 年
漏洞：Docker 配置错误
影响：容器逃逸
后果：主机完全控制
```

**攻击流程**：
```
1. 发现特权容器
   - docker run --privileged

2. 挂载主机文件系统
   - docker run -v /:/host

3. 逃逸到主机
   - chroot /host
   - 完全控制主机
```

**防护方案**：
```
1. 禁止特权容器
   securityContext:
     privileged: false

2. 限制挂载
   securityContext:
     readOnlyRootFilesystem: true

3. 删除能力
   securityContext:
     capabilities:
       drop:
       - ALL
```

### 案例 2: 镜像漏洞

**漏洞描述**：
```
时间：2019 年
漏洞：基础镜像漏洞
影响：容器漏洞
后果：数据泄露
```

**攻击流程**：
```
1. 扫描镜像
   - 发现已知漏洞
   - CVE-2019-XXXX

2. 漏洞利用
   - 远程代码执行
   - 权限提升

3. 数据泄露
   - 敏感数据
   - 用户信息
```

**防护方案**：
```
1. 镜像扫描
   - Trivy
   - Clair
   - 定期扫描

2. 基础镜像
   - 官方镜像
   - 最小化
   - 定期更新

3. 签名验证
   - Notary
   - Cosign
   - 签名验证
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——容器安全进阶这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**Docker 安全**：
```
1. TLS 配置
   - CA 证书
   - 服务器证书
   - 客户端证书

2. 用户命名空间
   - 用户映射
   - 权限隔离
   - 安全加固

3. Seccomp
   - 系统调用过滤
   - 安全配置
   - 运行时保护
```

**Kubernetes 安全**：
```
1. Pod 安全策略
   - 特权限制
   - 能力限制
   - 用户限制

2. 网络策略
   - 默认拒绝
   - 按需开放
   - 出口控制

3. 密钥管理
   - Vault 集成
   - 密钥注入
   - 密钥轮换
```

**运行时安全**：
```
1. Falco
   - 规则配置
   - 系统调用监控
   - 网络监控

2. 镜像扫描
   - Trivy
   - Clair
   - 定期扫描

3. 镜像签名
   - Notary
   - Cosign
   - 签名验证
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**零信任容器**：
```
1. 持续验证
   - 每次访问验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 容器威胁
   - 镜像威胁
   - 编排威胁
```

**云原生安全**：
```
1. 服务网格
   - Istio 安全
   - mTLS
   - 策略执行

2. Serverless
   - 函数安全
   - 事件安全
   - 依赖安全

3. 边缘计算
   - 边缘节点
   - 延迟优化
   - 安全隔离
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**开发人员**：
```
1. 镜像安全
   - 官方镜像
   - 漏洞扫描
   - 签名验证

2. 安全配置
   - 非 root 运行
   - 能力限制
   - 只读文件系统

3. 安全测试
   - 单元测试
   - 集成测试
   - 渗透测试
```

**安全人员**：
```
1. 容器安全测试
   - 镜像扫描
   - 运行时测试
   - 编排测试

2. 代码审计
   - Dockerfile 审计
   - K8s 配置审计
   - 网络策略审计

3. 监控告警
   - 异常检测
   - 实时告警
   - 事件响应
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- Docker Security
  https://docs.docker.com/engine/security/

- Kubernetes Security
  https://kubernetes.io/docs/concepts/security/

- CNCF Security
  https://github.com/cncf/tag-security
```

### 工具资源
```
- Trivy
  https://github.com/aquasecurity/trivy

- Falco
  https://falco.org/

- Vault
  https://www.vaultproject.io/
```

### 书籍推荐
```
- 《容器安全》
- 《Kubernetes 安全》
- 《Container Security》
- 《Cloud Native Security》
```

### 在线资源
```
- OWASP Container Security
  https://owasp.org/www-project-container-security/

- CIS Kubernetes Benchmark
  https://www.cisecurity.org/benchmark/kubernetes

- Awesome Container Security
  https://github.com/kai5263499/awesome-container-security
```

---

**标记 明日预告**：Day 104 - 云安全进阶

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 103 篇，系统安全部分第 8 篇，精编版本*