雲原生攻與營運實戰

前　言
第一分　雲原生概述
第1章　雲原生及其發展現況　3
1.1　雲原生發展現況　3
1.1.1　雲原生概論　3
1.1.2　雲原生關鍵技術　5
1.1.3　雲原生市場發展趨勢　6
1.1.4　重點產業雲端原生應用現狀　8
1.2　雲原生發展現況　10
1.2.1　新技術帶來新威脅　10
1.2.2　現況與發展趨勢　10
第2章　雲原生風險　13
2.1　雲原生風險與挑戰　13
2.1.1　雲端基礎設施變革引進新的暴露面　14
2.1.2　業務開發模式改變帶來新的風險　14
2.1.3　傳統護手段在雲原生環境中失效　16
2.1.4　雲原生應用在各段存在供應鏈風險　16
2.1.5　雲原生營運面臨巨大挑戰　17
2.2　雲原生風險案例　18
2.2.1　斯拉：不的K8s配置　18
2.2.2　SolarWinds：供應鏈風險　18
2.2.3　DoS攻擊：雲端原生基礎設施風險　19
2.2.4　大規模挖礦：不的容器　19
第二分　雲原生護
第3章　主流雲端原生框架　23
3.1　參考框架　23
3.1.1　CNCF雲原生框架　23
3.1.2　Gartner雲端原生架構　25
3.1.3　信通院雲原生框架　28
3.2　奇安信對雲原生的理解　30
3.2.1　設計原則　30
3.2.2　總體框架　31
第4章　雲端基礎設施　32
4.1　雲端基礎設施風險　32
4.2　雲端配置管理平台簡介　33
4.3　雲端配置管理平台的核心功能　34
4.3.1　資產清點　34
4.3.2　配置核查　35
4.3.3　流量採集　35
4.3.4　集群漏洞　36
4.4　雲端配置管理平台的勢　36
4.4.1　統一管理　36
4.4.2　署靈活　37
4.5　雲端設定管理平台的應用值　37
第5章　製品　39
5.1　代碼　39
5.1.1　風險　39
5.1.2　API資產收集　40
5.1.3　IaC代碼　44
5.1.4　開源軟體程式碼　46
5.1.5　代碼審查　54
5.2　鏡像　59
5.2.1　鏡像風險　59
5.2.2　鏡像分層　60
5.2.3　鏡像掃描　63
5.3　鏡像倉庫　66
5.3.1　Harbor簡介　67
5.3.2　Harbor鏡像掃描與運作　68
第6章　運行時　74
6.1　入侵偵測　74
6.1.1　基於規則的已知威脅發現　75
6.1.2　基於行為的未知威脅發現　83
6.2　准入控制　90
6.2.1　准入控制原理　90
6.2.2　策略引擎　92
6.2.3　椒圖容器實作　96
6.3　API護　99
6.3.1　API的挑戰　100
6.3.2　API框架標準　105
6.4　網路微隔離　107
6.4.1　來自網路的威脅　107
6.4.2　Sidecar代理模式下的流量管控　108
6.4.3　eBPF模式下的網路控制　109
6.4.4　網路流量的可視化與監控　111
6.4.5　三、四層網路存取控制　116
6.4.6　七層容器WAF　120
第三分　雲原生攻
第7章　雲原生環境下常見的攻矩陣　127
7.1　CNCF K8s攻矩陣　127
7.2　MITRE ATT CK容器攻矩陣　131
7.3　Microsoft K8s攻矩陣　131
7.4　奇安信雲原生攻矩陣　133
7.5　攻矩陣的戰術點　133
第8章　雲原生環境下的攻擊手法　137
8.1　雲原生場景下的ATT CK框架　137
8.2　初始訪問　139
8.2.1　kube-apiserver未授權　139
8.2.2　kubelet未授權　144
8.2.3　etcd未授權　147
8.2.4　kubeconfig檔外洩　149
8.2.5　K8s Dashboard未授權　151
8.2.6　kubectl proxy暴露　153
8.2.7　Docker Daemon未授權　154
8.3　執行　155
8.3.1　透過kubectl exec進入容器　155
8.3.2　創建後門Pod　156
8.3.3　利用服務帳號連線API Server執行指令　158
8.3.4　未開啟RBAC策略　159
8.3.5　不的容器鏡像　161
8.4　持久化　161
8.4.1　署後門容器　161
8.4.2　在容器或鏡像內植入後門　163
8.4.3　修改核心元件的存取權限　164
8.4.4　偽裝系統Pod　164
8.4.5　署靜態Pod　164
8.4.6　創建Shadow API Server　166
8.4.7　K8s集群內的Rootkit　168
8.5　權限提升　169
8.5.1　K8s RBAC權限濫用　170
8.5.2　利用權容器逃逸　173
8.5.3　利用容器的不配置提權　174
8.5.4　容器基礎應用或容器編排平台的軟體漏洞　188
8.5.5　利用Linux核心漏洞逃逸　190
8.6　禦繞過　191
8.7　憑證竊取　192
8.7.1　kubeconfig憑證或叢集Secret洩漏　192
8.7.2　利用K8s准入控制器竊取資訊　192
8.8　發現探測　193
8.8.1　探測群集中常用的服務組件　193
8.8.2　透過NodePort存取Service　194
8.8.3　存取私有鏡像庫　194
8.9　橫向移動　195
第9章　雲原生環境下的攻擊偵測與禦　197
9.1　初始訪問的偵測與禦　197
9.1.1　未授權的介面或暴露的敏感介面　197
9.1.2　kubeconfig檔外洩　199
9.1.3　不的容器鏡像　199
9.2　執行的偵測與禦　199
9.2.1　經由kubectl進入容器　199
9.2.2　透過SSH服務進入容器　200
9.2.3　署後門容器　201
9.2.4　透過服務帳號連線API Server執行指令　201
9.3　持久化的檢測與禦　202
9.3.1　署後門容器　202
9.3.2　掛載目錄向宿主機寫入檔案　202
9.3.3　建立Shadow API Server　202
9.3.4　K8s CronJob持久化　203
9.3.5　K8s集群Rootkit利用　203
9.3.6　靜態Pod　204
9.4　權限提升的偵測與禦　205
9.4.1　RBAC權限濫用　205
9.4.2　權容器逃逸　206
9.4.3　利用容器不的掛載和權限逃逸　206
9.4.4　容器或容器編排工具存在漏洞　206
9.5　禦繞過的偵測與禦　207
9.5.1　容器日誌　207
9.5.2　刪除K8s事件　207
9.5.3　使用代理或匿名存取K8s API Server　207
9.6　憑證竊取的偵測與禦　208
9.6.1　K8s Secret洩漏　208
9.6.2　服務帳號憑證外洩　208
9.6.3　設定檔中的應用程式憑證　209
9.6.4　惡意准入控制器竊取資訊　209
9.7　發現探測的偵測與禦　209
9.7.1　存取 K8s API Server　209
9.7.2　存取 kubelet API　210
9.7.3　網路映射　210
9.7.4　暴露的敏感介面　211
9.8　橫向移動的偵測與禦　212
第四分　雲原生運營
第10章　雲原生營運管理　217
10.1　雲原生營運建置的要性　217
10.2　雲原生營運的重要性　218
10.3　雲原生營運建置流程　220
10.3.1　雲原生營運平台　221
10.3.2　雲端原生營運人員　231
10.3.3　雲端原生營運流程　232
10.4　雲原生體系的主要應用場景　234
10.4.1　雲原生應用程式全生命週期風險管控　234
10.4.2　雲端原生應用供應鏈全流程　234
10.4.3　雲原生事件緊急處置　235