2024龙蜥大会中兴通讯分论坛：龙蜥社区内核态eBPF容器安全-甄鹏.pdf

《2024龙蜥大会中兴通讯分论坛：龙蜥社区内核态eBPF容器安全-甄鹏.pdf》由会员分享，可在线阅读，更多相关《2024龙蜥大会中兴通讯分论坛：龙蜥社区内核态eBPF容器安全-甄鹏.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、浪潮信息KeyarchOS基于eBPF技术的容器安全方案龙蜥社区内核态eBPF容器安全浪潮信息系统软件产品部甄鹏容器面临的安全挑战容器运行前安全风险容器运行时安全威胁0101KeyarchOS基于eBPF技术的解决方案容器运行时安全方案技术架构容器逃逸防护技术容器入侵检测技术容器网络防护技术容器定位技术0202总结与展望总结展望0303容器运行前及运行时的安全挑战容器面临的安全挑战容器运行前的风险主要指的是在容器实际运行之前，可能面临的各种安全风险和挑战。这些风险可以影响容器的安全性、稳定性和可用性，进而影响整个应用程序或系统的正常运行。容器运行前安全风险镜像恶意镜像敏感信息泄露不安全的第三方

2、组件生态 编排工具漏洞 Docker平台漏洞 编排工具配置缺陷运行环境主机内核漏洞主机内核配置缺陷远程登录权限控制问题容器运行时安全威胁指的是在容器化应用部署、执行和管理过程中，可能面临的各种安全问题和风险。这些威胁可能源自容器技术本身的局限性、配置不当、外部攻击者的恶意行为或者是容器运行时环境（如宿主机、网络、存储等）的漏洞。运行时威胁主要有两大类：容器运行时安全威胁容器入侵未经授权的第三方通过各种手段成功访问并控制容器内部资源，盗取数据、过度占用系统资源（如CPU、内存、网络带宽等），导致宿主机或其他容器性能下降、拒绝服务攻击等安全问题。获取控制权限 上传病毒加密数据 隐藏痕迹窃取数据 横

3、向扩展容器逃逸容器本应提供轻量级的隔离环境，但如果隔离机制存在缺陷或配置不当，攻击者可能能够突破这些隔离限制，访问或控制其他容器或宿主机上的资源。危险配置导致的容器逃逸 危险挂载导致的容器逃逸 Docker程序自身存在漏洞导致的容器逃逸 容器所在系统内核漏洞导致的逃逸容器运行时安全方案及关键技术KeyarchOS基于eBPF技术的解决方案KeyarchOSpodsyscall、内核函数等系统资源安全策略安全告警逃逸防护入侵检测网络防护用户访问用户态内核态pod黑客入侵云峦操作系统安全防御组件容器与宿主机共享内核，挂载eBPF程序至宿主机内核，一是能够同时监控宿主机和容器，二是部署一套安全组件能

4、监控所有容器，在部署效率和安全管理上均有优势容器运行时安全方案技术架构用户态内核态eBPF map动态加载策略匹配Hook点检测策略防御策略处置响应阻断结束进程监控日志上报信息获取日志封装System callKprobeNetworkLSMgRPC服务命令行管理CLIAgent主程序基础框架特性模块容器定位策略管理日志管理eBPF管理网络防护基线检测入侵检测逃逸防护用户态：提供CLI用户接口，通过gRPC服务与主进程通信。通过基础框架支撑安全特性功能开发，通过特性开关调用将eBPF程序加载至内核通信：用户态和内核态策略下发以及日志上传通过eBPF map实现内核态：在内核对应事件触发时，运行

5、相应的 eBPF 字节码程序，与配置的安全策略匹配，根据策略响应并上报安全日志基于eBPF的系统内多层次hook技术，将eBPF程序hook到操作系统内核的多个层级（LSM、syscall、network、kprobe内核函数），在各个hook点加载安全策略对系统和应用程序行为监控和拦截eBPF程序逻辑关键技术：容器逃逸防护技术容器内进程命令行审计：通过Kprobe获取进程的命令行参数，在LSM hook逻辑中将命令行参数与可疑逃逸指令库比对，对匹配的进程判定为逃逸行为上报告警，并通过eBPF LSM机制进行细粒度拦截容器内操作文件所属识别：在文件操作的系统调用处挂载eBPF LSM程序，获取

6、文件的path参数，结合内核数据结构目录项、虚拟文件系统挂载点等计算该文件在宿主机的实际路径，路径中包含容器信息则为容器内文件，否则识别为逃逸行为黑客操作逃逸防护告警安全日志ringbuffer map安全策略hash map用户态文件操作进程操作命令行审计宿主机文件识别策略配置6.记录日志1.下发策略3.策略匹配5.上报信息内核态分析容器逃逸行为，从容器内发生操作的进程和文件维度识别并阻断逃逸行为。具体而言，对进程命令行参数审计结合可疑命令库识别逃逸行为；对容器进程操作的文件路径分析，判断是否为宿主机文件，并进一步识别逃逸行为。2.逃逸操作4.拦截操作关键技术：容器入侵检测技术用户态内核态数