腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

绿盟科技研究通讯

专栏作者

516

文章

642223

阅读量

88

订阅数

Tetragon – 盯向内核的眼睛

开源 kubernetes linux

eBPF（extended Berkeley Packet Filters）起源于BPF，是一套通用执行引擎，提供了直通Linux内核的可编程通用能力。自Linux内核3.18版本后BPF扩展了 Berkeley 数据包过滤器等一系列特性，此后版本被称为eBPF，而之前的版本则被区分为cBPF。如图1 所示，由于新特性的加持，eBPF的架构设计得到更新，eBPF也注定在更多场景中发挥更大的价值，同时也由于eBPF比cBPF执行得更快等原因，cBPF在新的内核中也基本被废弃[1]。

绿盟科技研究通讯

2023-02-22

3640

Kubernetes与HostPath的爱恨交织

安全 kubernetes 容器 https 网络安全

本文翻译整理自Quarkslab实验室[1]，主要追溯了三个与Kubernetes相关的漏洞：CVE-2017-1002101、CVE-2021-30465和CVE-2021-25741，分别介绍了这些漏洞的原理以及对应的修复措施，并阐述了它们之间的关联——均与HostPath有关。在介绍漏洞之前，我们需要先了解一下Kubernetes相关的背景知识。

绿盟科技研究通讯

2022-11-14

9200

RSA解读 | Kubernetes集群的攻与防

kubernetes 容器安全网络安全 api

在2022年RSA大会上，来自CyberArk的高级安全研究员 Eviatar Gerzi为我们分享了Kubernetes集群的攻击面和防御策略以及如何利用两款开源工具（Kubesploit和KubiScan）对集群环境进行攻击和防御。本文试图以Gerzi的思路为依据，从攻击和防御的角度来简单聊一聊Kubernetes集群安全。

绿盟科技研究通讯

2022-11-14

7580

前沿研究 | 容器逃逸即集群管理员？你的集群真的安全吗？

api kubernetes list server 权限

在2022年的KubeCon会议上，来自Palo Alto Networks的安全研究员Yuval Avrahami和Shaul Ben Hai分享了议题《Trampoline Pods：Node to Admin PrivEsc Built Into Popular K8s Platforms》[1] ，介绍了攻击者在容器逃逸之后如何利用节点上“TrampolinePods”的权限来接管集群，其中涉及的技术和思路十分值得学习与思考，本文主要介绍该技术的原理和步骤，扩展了同一类型的方法，希望云安全人员在深入了解攻击技术之后，能够发现并缓解生产环境中存在的类似风险，共同建设云环境安全。

绿盟科技研究通讯

2022-11-14

9930

前沿研究 | 云原生服务风险测绘分析（五）：Etcd

etcd 网络安全安全 kubernetes

Etcd是一个高可用的分布式键值对数据库，其是由CoreOS团队于2013年6月发起的开源项目，基于Go语言实现，距今已将近10年时间，目前在Github上已有40K的Star数和8.6K的Fork数，社区非常活跃，有超过700位贡献者。从版本整体发展历史来看，Etcd主要有v2和v3两个版本，v3版本较v2版本相同点在于它们共享一套Raft协议代码，不同点在于两个版本的数据是相互隔离的，即若将v2版本升级至v3版本，原来的v2版本的数据还是只能用v2版本的接口访问，而不能被v3版本的接口所访问。

绿盟科技研究通讯

2022-11-14

5440

云计算安全的新阶段：云上风险发现与治理

云计算工业物联容器镜像服务 tcp/ip kubernetes

云计算当前已经成为新型基础设施的关键支撑技术，在疫情期间，推动了大量远程办公、政务防疫、百姓生活等SaaS应用和移动应用。要回答云计算未来数年的发展，则需要回首云计算在过去的发展。需要注意到，云计算在国内发展具有鲜明的中国特色，跟国外同期是不同的，总体看分为三个阶段。

绿盟科技研究通讯

2022-06-06

1K0

《2021网络空间测绘年报》| 国内77%的 Kubernetes资产受到已知漏洞影响

容器镜像服务 api 网络安全安全 kubernetes

近年来，云原生的概念越来越多地出现在人们的视野中，可以说云原生是云计算时代的下半场，云原生的出现是云计算不断与具体业务场景融合，与开发运营一体化碰撞的结果。谈到云原生，不得不提出推动云原生发展的CNCF(Cloud Native Computing Foundation 云原生计算基金会) 。CNCF是一个孵化、运营云原生生态的中立组织，其对云原生的见解是：“云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。”

绿盟科技研究通讯

2022-04-14

5480

云原生服务风险测绘分析（一）：Docker和Kubernetes

kubernetes 容器镜像服务 api 安全容器

近年来随着云原生服务的大规模应用，互联网上暴露的相应资产越来越多，通过网络空间测绘技术可对暴露的资产进行数据统计及进一步的分析，从而有效赋能态势感知、漏洞预警、风险溯源等技术领域。

绿盟科技研究通讯

2022-04-14

7110

深入浅出云原生环境信息收集技术（一）

容器 kubernetes api 网站

信息收集在攻击和防御两端都是非常重要的一环。从宏观的角度来说，大多数信息相关的工作都可以看作信息收集和信息处理交替进行的循环。优质的信息收集成果是后续工作顺利展开的首要条件。《孙子兵法》有云：故善战人之势，如转圆石于千仞之山者，势也。在掌握了充足信息后，攻防工作将“如转圆石于千仞之山”。

绿盟科技研究通讯

2022-03-11

3410

移花接木：看CVE-2020-8559如何逆袭获取集群权限

api 安全 node.js linux kubernetes

CVE-2020-8559是一个针对Kubernetes的权限提升漏洞，攻击者可以截取某些发送至节点kubelet的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点的权限提升，CVSS3.x评分为6.8[1]。版本在v1.6-v1.15之间以及v1.16.13、v1.17.9和v1.18.6之前的版本均受影响。该漏洞由Tim Allclair提交[2]。

绿盟科技研究通讯

2021-11-10

9600

《云原生安全：攻防实践与体系构建》解读：动手实践篇

kubernetes 网络安全安全开源容器

在《〈云原生安全：攻防实践与体系构建〉解读：攻防对抗篇》中，我们为大家介绍了《云原生安全：攻防实践与体系构建》书中精彩的攻防对抗技术与案例。事实上，无论是对于一线负责攻防的同学，还是对于相关安全研究的同学来说，实践是掌握这些技能、理解这些威胁及设计合理防御机制的关键。纸上得来终觉浅，绝知此事要躬行。本篇，我们就为大家梳理一下本书中可以供各位同学动手实践的部分。我们也建议大家，在有需求、有条件的情况下，能够跟随本书，敲下一行行命令，感受其中的奥妙。

绿盟科技研究通讯

2021-11-10

2.3K0

【新书速递】应用上云成必然趋势，“安全左移”是云原生安全的必经之路？

容器云计算数据安全 kubernetes serverless

云计算一经走向市场，就迅速呈现出强大的生命力。随着大数据时代的到来，云计算成为大数据的承载平台，“云计算+大数据+人工智能”成为新基建的核心。云计算也因大数据、人工智能的不断发展而成为信息技术应用的一个重要支柱，在较长时间内占据信息技术的应用舞台。

绿盟科技研究通讯

2021-11-10

6580

Metarget：云原生攻防靶场开源啦！

网络安全安全自动化 kubernetes 容器

对于研究人员和攻防实战人员来说，免不了在漏洞曝出后搭环境测试；对于安全开发同学来说，免不了在脆弱环境内一边运行防御检测系统，一边运行PoC或ExP，测试功能有效性。

绿盟科技研究通讯

2021-06-10

1.8K0

k0otkit: Hack K8s in a K8s Way

容器 shell kubernetes 网站渗透测试

2020年的倒数第二天，我们在CIS网络安全创新大会[1]上跟大家分享了一种针对Kubernetes集群的通用后渗透控制技术（简称k0otkit[2]），利用Kubernetes自身特性、动态容器注入、无文件攻击等技术，在容器逃逸后实现对集群所有节点（无论集群规模大小）的快速、隐蔽、持续控制，同时还介绍了针对这种技术的防御和检测方法。

绿盟科技研究通讯

2021-01-12

1.1K0

好书推荐 — Kubernetes安全分析

kubernetes 容器 api 安全

笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍，作者为LizRice和Michael Hausenbla，两位分别来自美国容器安全厂商Aqua和云服务厂商AWS，并在容器安全研究领域上拥有丰富的软件开发，团队和产品管理经验。

绿盟科技研究通讯

2020-06-04

2.2K0

主流云原生微服务API网关成熟度与安全功能对比分析

kubernetes spring 开源 api 微服务

在整个微服务架构中，API网关充当着非常重要的一环，它不仅要负责外部所有的流量接入，同时还要在网关入口处根据不同类型请求提供流量控制、日志收集、性能分析、速率限制、熔断、重试等细粒度的控制行为。API网关一方面将外部访问与微服务进行了隔离，保障了后台微服务的安全，另一方面也节省了后端服务的开发成本，有益于进行应用层面的扩展。与此同时，API网关也应具备解决外界访问带来的安全问题，例如TLS加密、数据丢失、跨域访问、认证授权、访问控制等。本文尝试分析目前主流的云原生微服务API网关成熟度以及各自具备的安全功能，并比较各自带来的优劣，尤其在安全层面上，开源软件都做了哪些工作，是否全面，若不全面我们又该如何弥补。

绿盟科技研究通讯

2020-01-02

2.9K0

Istio系列三：Mixer、Pilot组件分析实践

api kubernetes 微服务

本文为Istio系列的终结篇，前两篇《Istio系列一：Istio的认证授权机制分析》、《Istio系列二：Envoy组件分析》笔者分别对Istio的安全机制和数据平面组件Envoy进行了解读，相信各位读者已经对Istio有了一定认识，本文主要对Istio的控制平面核心组件Mixer、Pilot进行分析解读，在文中笔者会结合Envoy说明Mixer、Pilot的工作原理及它们在Istio中的价值，文章阅读时间大致15分钟，希望能给各位读者带来收获。

绿盟科技研究通讯

2019-12-11

2.1K0

2019年度容器安全现状分析

容器安全容器镜像服务 kubernetes

随着越来越多的组织向微服务/DevOps转型，容器生态系统每年都会发生很大的变化。近期，Sysdig发布了《2019年度容器使用报告》，报告中大篇幅的介绍了2019年容器生态下的安全现状问题。

绿盟科技研究通讯

2019-12-11

8230

Kubernetes助力Spark大数据分析

spark 容器 java kubernetes

Kubernetes 作为一个广受欢迎的开源容器协调系统，是Google于2014年酝酿的项目。从Google趋势上看到，Kubernetes自2014年以来热度一路飙升，短短几年时间就已超越了大数据分析领域的长老Hadoop。本公众号之前的文章（Kubernetes核心组件解析）也对Kubernetes的几个组件做了一些详细的剖析，本文就带领大家一起看看Kubernetes和Spark碰到一起会擦出什么样的火花。

绿盟科技研究通讯

2019-12-11

1.7K0

Istio系列一：Istio的认证授权机制分析

微服务 https kubernetes 容器

随着虚拟化技术的不断发展，以容器为核心的微服务概念被越来越多人认可，Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出，许多公司以Istio的架构设计理念作为模板来管理自己的微服务系统，但在其势头发展猛劲之时，也有许多专家针对Istio的安全机制提出了疑问，比如在Istio管理下，服务间的通信数据是否会泄露及被第三方劫持的风险；服务的访问控制是否做到相对安全；Istio如何做安全数据的管理等等，这些都是Istio目前面临的安全问题，而我们只有深入分析其机制才能明白Istio是如何做安全的。

绿盟科技研究通讯

2019-12-11

2.4K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态