《云原生安全: 攻防實(shí)踐與體系構(gòu)建》解讀:動手實(shí)踐篇

在《〈云原生安全： 攻防實(shí)踐與體系構(gòu)建〉解讀：攻防對抗篇》中，我們?yōu)榇蠹医榻B了《云原生安全：攻防實(shí)踐與體系構(gòu)建》書中精彩的攻防對抗技術(shù)與案例。事實(shí)上，無論是對于一線負(fù)責(zé)攻防的同學(xué)，還是對于相關(guān)安全研究的同學(xué)來說，實(shí)踐是掌握這些技能、理解這些威脅及設(shè)計(jì)合理防御機(jī)制的關(guān)鍵。紙上得來終覺淺，絕知此事要躬行。本篇，我們就為大家梳理一下本書中可以供各位同學(xué)動手實(shí)踐的部分。我們也建議大家，在有需求、有條件的情況下，能夠跟隨本書，敲下一行行命令，感受其中的奧妙。

?

1. 容器基礎(chǔ)設(shè)施相關(guān)的動手實(shí)踐

?

?

docker cp命令相關(guān)漏洞的動手實(shí)踐

?

?

本書第三章第二節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)兩個(gè)docker cp命令相關(guān)的容器逃逸漏洞：CVE-2018-15664與CVE-2019-14271，成因和利用手法均不相同。

?

鏡像脆弱性相關(guān)的動手實(shí)踐

?

?

本書第三章第三節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)Alpine鏡像曾曝出的高危漏洞CVE-2019-5021。

?

容器逃逸動手實(shí)踐

?

?

本書第三章第四節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)一些經(jīng)典的容器逃逸手段，如利用特權(quán)容器、利用掛載的宿主機(jī)docker.sock、利用掛載的宿主機(jī)procfs、利用CVE-2019-5736漏洞、利用CVE-2016-5195漏洞等；我們還將一起學(xué)習(xí)如何利用CVE-2020-2023、CVE-2020-2025、CVE-2020-2026三個(gè)漏洞實(shí)現(xiàn)Kata Containers安全容器逃逸。

?

資源耗盡型攻擊動手實(shí)踐

?

?

除了容器逃逸相關(guān)內(nèi)容，本書第三章第四節(jié)還將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)可能發(fā)生在容器內(nèi)部的資源耗盡型攻擊，例如CPU、內(nèi)存、進(jìn)程表和存儲空間耗盡等。

?

利用eBPF技術(shù)實(shí)現(xiàn)動態(tài)追蹤

?

?

本書第十三章將帶領(lǐng)大家一起使用當(dāng)下開源社區(qū)十分重視的eBPF技術(shù)實(shí)現(xiàn)系統(tǒng)行為的追蹤。

?

利用開源工具檢測漏洞利用行為

?

?

本書第十六章將帶領(lǐng)大家一起使用開源工具Falco，編寫規(guī)則，實(shí)現(xiàn)對CVE-2019-5736漏洞利用行為的檢測。

?

2. 容器編排平臺相關(guān)的動手實(shí)踐

?

?

Kubernetes不安全配置相關(guān)的動手實(shí)踐

?

?

本書第四章第二節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)針對API Server、Dashboard和kubelet等Kubernetes核心組件不安全配置的利用手段。

?

Kubernetes權(quán)限提升漏洞CVE-2018-1002105的動手實(shí)踐

?

?

本書第四章第三節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)Kubernetes高危權(quán)限提升漏洞CVE-2018-1002105。

?

Kubernetes拒絕服務(wù)攻擊漏洞的動手實(shí)踐

?

?

本書第四章第四節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、復(fù)現(xiàn)兩個(gè)Kubernetes拒絕服務(wù)攻擊漏洞CVE-2019-11253和CVE-2019-9512。

?

Kubernetes網(wǎng)絡(luò)中間人攻擊動手實(shí)踐

?

?

本書第四章第五節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、實(shí)驗(yàn)如何在Kubernetes集群里進(jìn)行中間人攻擊，并介紹相關(guān)的防御策略。

?

3. 云原生應(yīng)用脆弱性相關(guān)的動手實(shí)踐

?

?

本書第五章第五節(jié)將帶領(lǐng)大家一起學(xué)習(xí)、實(shí)驗(yàn)針對Serverless平臺及應(yīng)用的相關(guān)攻擊手段。

?

4. 借助網(wǎng)絡(luò)空間測繪引擎近距離接觸安全事件

?

?

本書第六章將帶領(lǐng)大家一起使用網(wǎng)絡(luò)空間測繪引擎，對發(fā)生過的云原生安全事件的成因進(jìn)行再次挖掘，洞悉當(dāng)下安全狀態(tài)。

?

言猶未盡

?

?

除了書籍本身之外，我們還提供隨書資源倉庫：https://github.com/brant-ruan/cloud-native-security-book，為以上絕大多數(shù)實(shí)踐內(nèi)容提供了參考代碼。

?

同時(shí)，由本書作者團(tuán)隊(duì)開發(fā)維護(hù)的開源云原生攻防靶場Metarget能夠自動化搭建本書涉及到的絕大多數(shù)漏洞環(huán)境，項(xiàng)目地址為：https://github.com/Metarget/metarget。

?

最后，前述隨書資源倉庫中還提供了豐富的閱讀和實(shí)踐內(nèi)容供大家了解。實(shí)踐內(nèi)容如下：

?

1.?CVE-2017-1002101：突破隔離訪問宿主機(jī)文件系統(tǒng).pdf

2.?CVE-2018-1002103：遠(yuǎn)程代碼執(zhí)行與虛擬機(jī)逃逸.pdf

3.?CVE-2020-8595：Istio認(rèn)證繞過.pdf

4.?靶機(jī)實(shí)驗(yàn)：綜合場景下的滲透實(shí)戰(zhàn).pdf

?

大家可以在隨書資源倉庫中獲取到以上文件。CVE-2017-1002101、CVE-2018-1002103是能夠?qū)е氯萜魈右莺瓦h(yuǎn)程代碼執(zhí)行的兩個(gè)高危漏洞；CVE-2020-8595是服務(wù)網(wǎng)格框架Istio的一個(gè)認(rèn)證繞過漏洞，較為新穎；讀者還可以按照我們的“靶機(jī)實(shí)驗(yàn)”文檔親自搭建自己的靶機(jī)環(huán)境，完成針對云原生環(huán)境的綜合滲透測試。

?

希望大家通過本書的學(xué)習(xí)和實(shí)踐，能夠理解云原生安全，并將其應(yīng)用到云原生落地中。一起努力，讓云原生變得更安全！

?

本文選自《云原生安全：攻防實(shí)踐與體系構(gòu)建》，經(jīng)出版方授權(quán)發(fā)布。

?

推薦語：隨著各行業(yè)數(shù)字化轉(zhuǎn)型的加速，云原生正在憑借其快速部署、彈性、可擴(kuò)展等特性，在越來越多的領(lǐng)域落地應(yīng)用，已從概念普及期走入快速發(fā)展期。本書面向?qū)崙?zhàn)攻防，分析了云原生體系每層的安全風(fēng)險(xiǎn)與威脅，并根據(jù)各類攻擊場景，有針對性地設(shè)計(jì)了面向云原生架構(gòu)的安全防護(hù)體系。作者團(tuán)隊(duì)在云計(jì)算安全領(lǐng)域研究了數(shù)十年之久，本書也得到了CSA大中華區(qū)主席 李雨航、云安全架構(gòu)師 鳥哥 等領(lǐng)域?qū)＜衣?lián)名推薦！

?

?