《云原生安全: 攻防实践与体系构建》解读:动手实践篇
在《〈云原生安全: 攻防实践与体系构建〉解读:攻防对抗篇》中,我们为大家介绍了《云原生安全:攻防实践与体系构建》书中精彩的攻防对抗技术与案例。事实上,无论是对于一线负责攻防的同学,还是对于相关安全研究的同学来说,实践是掌握这些技能、理解这些威胁及设计合理防御机制的关键。纸上得来终觉浅,绝知此事要躬行。本篇,我们就为大家梳理一下本书中可以供各位同学动手实践的部分。我们也建议大家,在有需求、有条件的情况下,能够跟随本书,敲下一行行命令,感受其中的奥妙。
1. 容器基础设施相关的动手实践
docker cp命令相关漏洞的动手实践
本书第三章第二节将带领大家一起学习、复现两个docker cp命令相关的容器逃逸漏洞:CVE-2018-15664与CVE-2019-14271,成因和利用手法均不相同。
镜像脆弱性相关的动手实践
本书第三章第三节将带领大家一起学习、复现Alpine镜像曾曝出的高危漏洞CVE-2019-5021。
容器逃逸动手实践
本书第三章第四节将带领大家一起学习、复现一些经典的容器逃逸手段,如利用特权容器、利用挂载的宿主机docker.sock、利用挂载的宿主机procfs、利用CVE-2019-5736漏洞、利用CVE-2016-5195漏洞等;我们还将一起学习如何利用CVE-2020-2023、CVE-2020-2025、CVE-2020-2026三个漏洞实现Kata Containers安全容器逃逸。
资源耗尽型攻击动手实践
除了容器逃逸相关内容,本书第三章第四节还将带领大家一起学习、复现可能发生在容器内部的资源耗尽型攻击,例如CPU、内存、进程表和存储空间耗尽等。
利用eBPF技术实现动态追踪
本书第十三章将带领大家一起使用当下开源社区十分重视的eBPF技术实现系统行为的追踪。
利用开源工具检测漏洞利用行为
本书第十六章将带领大家一起使用开源工具Falco,编写规则,实现对CVE-2019-5736漏洞利用行为的检测。
2. 容器编排平台相关的动手实践
Kubernetes不安全配置相关的动手实践
本书第四章第二节将带领大家一起学习、复现针对API Server、Dashboard和kubelet等Kubernetes核心组件不安全配置的利用手段。
Kubernetes权限提升漏洞CVE-2018-1002105的动手实践
本书第四章第三节将带领大家一起学习、复现Kubernetes高危权限提升漏洞CVE-2018-1002105。
Kubernetes拒绝服务攻击漏洞的动手实践
本书第四章第四节将带领大家一起学习、复现两个Kubernetes拒绝服务攻击漏洞CVE-2019-11253和CVE-2019-9512。
Kubernetes网络中间人攻击动手实践
本书第四章第五节将带领大家一起学习、实验如何在Kubernetes集群里进行中间人攻击,并介绍相关的防御策略。
3. 云原生应用脆弱性相关的动手实践
本书第五章第五节将带领大家一起学习、实验针对Serverless平台及应用的相关攻击手段。
4. 借助网络空间测绘引擎近距离接触安全事件
本书第六章将带领大家一起使用网络空间测绘引擎,对发生过的云原生安全事件的成因进行再次挖掘,洞悉当下安全状态。
言犹未尽
除了书籍本身之外,我们还提供随书资源仓库:https://github.com/brant-ruan/cloud-native-security-book,为以上绝大多数实践内容提供了参考代码。
同时,由本书作者团队开发维护的开源云原生攻防靶场Metarget能够自动化搭建本书涉及到的绝大多数漏洞环境,项目地址为:https://github.com/Metarget/metarget。
最后,前述随书资源仓库中还提供了丰富的阅读和实践内容供大家了解。实践内容如下:
1. CVE-2017-1002101:突破隔离访问宿主机文件系统.pdf
2. CVE-2018-1002103:远程代码执行与虚拟机逃逸.pdf
3. CVE-2020-8595:Istio认证绕过.pdf
4. 靶机实验:综合场景下的渗透实战.pdf
大家可以在随书资源仓库中获取到以上文件。CVE-2017-1002101、CVE-2018-1002103是能够导致容器逃逸和远程代码执行的两个高危漏洞;CVE-2020-8595是服务网格框架Istio的一个认证绕过漏洞,较为新颖;读者还可以按照我们的“靶机实验”文档亲自搭建自己的靶机环境,完成针对云原生环境的综合渗透测试。
希望大家通过本书的学习和实践,能够理解云原生安全,并将其应用到云原生落地中。一起努力,让云原生变得更安全!
本文选自《云原生安全:攻防实践与体系构建》,经出版方授权发布。
推荐语:随着各行业数字化转型的加速,云原生正在凭借其快速部署、弹性、可扩展等特性,在越来越多的领域落地应用,已从概念普及期走入快速发展期。本书面向实战攻防,分析了云原生体系每层的安全风险与威胁,并根据各类攻击场景,有针对性地设计了面向云原生架构的安全防护体系。作者团队在云计算安全领域研究了数十年之久,本书也得到了CSA大中华区主席 李雨航、云安全架构师 鸟哥 等领域专家联名推荐!