《云原生安全: 攻防实践与体系构建》解读:动手实践篇

在《〈云原生安全： 攻防实践与体系构建〉解读：攻防对抗篇》中，我们为大家介绍了《云原生安全：攻防实践与体系构建》书中精彩的攻防对抗技术与案例。事实上，无论是对于一线负责攻防的同学，还是对于相关安全研究的同学来说，实践是掌握这些技能、理解这些威胁及设计合理防御机制的关键。纸上得来终觉浅，绝知此事要躬行。本篇，我们就为大家梳理一下本书中可以供各位同学动手实践的部分。我们也建议大家，在有需求、有条件的情况下，能够跟随本书，敲下一行行命令，感受其中的奥妙。

 

1. 容器基础设施相关的动手实践

 

 

docker cp命令相关漏洞的动手实践

 

 

本书第三章第二节将带领大家一起学习、复现两个docker cp命令相关的容器逃逸漏洞：CVE-2018-15664与CVE-2019-14271，成因和利用手法均不相同。

 

镜像脆弱性相关的动手实践

 

 

本书第三章第三节将带领大家一起学习、复现Alpine镜像曾曝出的高危漏洞CVE-2019-5021。

 

容器逃逸动手实践

 

 

本书第三章第四节将带领大家一起学习、复现一些经典的容器逃逸手段，如利用特权容器、利用挂载的宿主机docker.sock、利用挂载的宿主机procfs、利用CVE-2019-5736漏洞、利用CVE-2016-5195漏洞等；我们还将一起学习如何利用CVE-2020-2023、CVE-2020-2025、CVE-2020-2026三个漏洞实现Kata Containers安全容器逃逸。

 

资源耗尽型攻击动手实践

 

 

除了容器逃逸相关内容，本书第三章第四节还将带领大家一起学习、复现可能发生在容器内部的资源耗尽型攻击，例如CPU、内存、进程表和存储空间耗尽等。

 

利用eBPF技术实现动态追踪

 

 

本书第十三章将带领大家一起使用当下开源社区十分重视的eBPF技术实现系统行为的追踪。

 

利用开源工具检测漏洞利用行为

 

 

本书第十六章将带领大家一起使用开源工具Falco，编写规则，实现对CVE-2019-5736漏洞利用行为的检测。

 

2. 容器编排平台相关的动手实践

 

 

Kubernetes不安全配置相关的动手实践

 

 

本书第四章第二节将带领大家一起学习、复现针对API Server、Dashboard和kubelet等Kubernetes核心组件不安全配置的利用手段。

 

Kubernetes权限提升漏洞CVE-2018-1002105的动手实践

 

 

本书第四章第三节将带领大家一起学习、复现Kubernetes高危权限提升漏洞CVE-2018-1002105。

 

Kubernetes拒绝服务攻击漏洞的动手实践

 

 

本书第四章第四节将带领大家一起学习、复现两个Kubernetes拒绝服务攻击漏洞CVE-2019-11253和CVE-2019-9512。

 

Kubernetes网络中间人攻击动手实践

 

 

本书第四章第五节将带领大家一起学习、实验如何在Kubernetes集群里进行中间人攻击，并介绍相关的防御策略。

 

3. 云原生应用脆弱性相关的动手实践

 

 

本书第五章第五节将带领大家一起学习、实验针对Serverless平台及应用的相关攻击手段。

 

4. 借助网络空间测绘引擎近距离接触安全事件

 

 

本书第六章将带领大家一起使用网络空间测绘引擎，对发生过的云原生安全事件的成因进行再次挖掘，洞悉当下安全状态。

 

言犹未尽

 

 

除了书籍本身之外，我们还提供随书资源仓库：https://github.com/brant-ruan/cloud-native-security-book，为以上绝大多数实践内容提供了参考代码。

 

同时，由本书作者团队开发维护的开源云原生攻防靶场Metarget能够自动化搭建本书涉及到的绝大多数漏洞环境，项目地址为：https://github.com/Metarget/metarget。

 

最后，前述随书资源仓库中还提供了丰富的阅读和实践内容供大家了解。实践内容如下：

 

1. CVE-2017-1002101：突破隔离访问宿主机文件系统.pdf

2. CVE-2018-1002103：远程代码执行与虚拟机逃逸.pdf

3. CVE-2020-8595：Istio认证绕过.pdf

4. 靶机实验：综合场景下的渗透实战.pdf

 

大家可以在随书资源仓库中获取到以上文件。CVE-2017-1002101、CVE-2018-1002103是能够导致容器逃逸和远程代码执行的两个高危漏洞；CVE-2020-8595是服务网格框架Istio的一个认证绕过漏洞，较为新颖；读者还可以按照我们的“靶机实验”文档亲自搭建自己的靶机环境，完成针对云原生环境的综合渗透测试。

 

希望大家通过本书的学习和实践，能够理解云原生安全，并将其应用到云原生落地中。一起努力，让云原生变得更安全！

 

本文选自《云原生安全：攻防实践与体系构建》，经出版方授权发布。

 

推荐语：随着各行业数字化转型的加速，云原生正在凭借其快速部署、弹性、可扩展等特性，在越来越多的领域落地应用，已从概念普及期走入快速发展期。本书面向实战攻防，分析了云原生体系每层的安全风险与威胁，并根据各类攻击场景，有针对性地设计了面向云原生架构的安全防护体系。作者团队在云计算安全领域研究了数十年之久，本书也得到了CSA大中华区主席 李雨航、云安全架构师 鸟哥 等领域专家联名推荐！