1、1云原生安全威胁分析与能力建设白皮书云原生安全威胁分析与能力建设白皮书中国联通研究院中国联通网络安全研究院下一代互联网宽带业务应用国家工程研究中心2023 年 11 月版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。云原生安全威胁分析与能力建设白皮书1目 录目 录一、云原生安全概述.91.1 云原生及云原生安全.91.1.1 云原生.101.1.2 云原生安全.121.2 云原生安全发展.141.3 云原生安全风险.17二、云原生关键技术威胁全

2、景.192.1 云原生安全威胁分析.192.2 路径 1：镜像攻击.212.2.1 镜像投毒攻击.212.2.2 镜像仓库攻击.222.2.3 中间人攻击.222.2.4 敏感信息泄露攻击.222.2.5 针对镜像不安全配置的攻击.222.3 路径 2：容器攻击.232.3.1 守护进程攻击.232.3.2 容器提权和逃逸攻击.242.3.3 拒绝服务攻击.25云原生安全威胁分析与能力建设白皮书22.3.4 容器网络攻击.262.4 路径 3：编排工具攻击.262.4.1k8s 组件攻击.272.4.2 服务对外暴露攻击.272.4.3 业务 pod 攻击.282.4.4 集群环境下的横向攻击

3、.292.4.5k8s 管理平台攻击.292.4.6 第三方组件攻击.292.5 路径 4：微服务攻击.292.5.1API 攻击.302.5.2API 网关攻击.322.5.3 微服务应用攻击.322.6 路径 5：Serverless 攻击.332.6.1 事件注入攻击.342.6.2 敏感数据泄露攻击.342.6.3 身份认证攻击.352.6.4 权限滥用攻击.352.6.5 拒绝服务攻击.36云原生安全威胁分析与能力建设白皮书32.6.6 针对函数供应链的攻击.36三、典型攻击场景分析.373.1 镜像投毒攻击.373.1.1 攻击场景介绍.373.1.2 攻击过程复现.383.2 挂

4、载 Docker Socket 导致容器逃逸攻击.383.2.1 攻击场景介绍.383.2.2 攻击过程复现.393.3k8s 权限提升攻击.403.3.1 攻击场景介绍.403.3.2 攻击过程复现.413.4Istio 认证策略绕过攻击.433.4.1 攻击场景介绍.433.4.2 攻击过程复现.45四、云原生应用保护能力建设.474.1 制品安全能力建设.474.1.1 代码安全.484.1.2 镜像安全.49云原生安全威胁分析与能力建设白皮书44.1.3 制品环境安全.504.1.4 安全检测.524.2 运行时安全能力建设.534.2.1Web 应用和 API 安全.544.2.2

5、云原生运行时安全.564.2.3 网络微隔离.584.3 基础设施安全能力建设.594.3.1 基础设施即代码安全.594.3.2 权限管理.604.3.3 云原生安全态势.60五、总结与展望.62六、参考文献.64云原生安全威胁分析与能力建设白皮书5图目录图目录图 1云原生四要素.10图 2云原生四要素的基本含义.11图 3云原生安全框架.13图 4云原生安全能力体系.16图 5云原生关键技术威胁全景.19图 6容器镜像安全风险.21图 7容器运行时安全风险.23图 8针对 k8s 进行攻击的路径分析.27图 9针对微服务进行攻击的路径分析.30图 10针对 Knative 进行攻击的路径分

6、析.33图 11镜像投毒攻击路径分析.37图 12反弹 shell 攻击结果展示.38图 13容器逃逸结果展示.40图 14k8s 权限提升攻击路径.41图 15利用 CVE-2018-1002105 窃取高权限凭证.42图 16未授权访问结果.45图 17绕过 Istio JWT 认证访问结果.45图 18云原生应用保护能力建设架构图.47图 19制品安全能力建设.48云原生安全威胁分析与能力建设白皮书6图 20运行时安全能力建设.54图 21基础设施安全能力建设.59表目录表目录表 1云原生安全相关标准.15云原生安全威胁分析与能力建设白皮书7前 言前 言在数字化转型的大潮中，云计算作为实