【韦伟】vArmor-云原生安全加固实战.pdf

1、vArmor:云原生安全加固实战韦 伟 火山引擎云安全背景介绍01安装使用03基本原理0204 典型应用韦 伟毕业于北京理工大学，就职于字节跳动安全与风控-云安全部门。长期从事容器&云原生等基础设施攻防研究及方案落地。主导字节生产网和火山引擎的云原生安全防护、安全治理等多个方面的项目建设。曾作为安全研究员获得国外多家知名厂商致谢，并在国际知名安全会议上进行过演讲。背景介绍一个开源云原生容器沙箱系统，它借助 Linux 的 LSM 技术（AppArmor&BPF）实现强制访问控制器，从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与

2、成本。基于 Kubernetes Operator 设计模式，使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角，对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口，具备开箱即用的特性。背景介绍一个开源云原生容器沙箱系统，它借助 Linux 的 LSM 技术（AppArmor&BPF）实现强制访问控制器，从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式，使用户可以通过操作 CRD API 对特

3、定的 Workloads 进行加固。从而以更贴近业务的视角，对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口，具备开箱即用的特性。背景介绍更高的资源利用率更高的研发效率广泛且大量运用但隔离性不足一个开源云原生容器沙箱系统，它借助 Linux 的 LSM 技术（AppArmor&BPF）实现强制访问控制器，从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式，使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴

4、近业务的视角，对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口，具备开箱即用的特性。背景介绍云原生架构引入新的攻击面错误配置和漏洞频现攻击者关注度不断增加一个开源云原生容器沙箱系统，它借助 Linux 的 LSM 技术（AppArmor&BPF）实现强制访问控制器，从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式，使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角，对容器化微服务的进行沙箱加

5、固。此外 vArmor 还包含多种内置规则和自定义接口，具备开箱即用的特性。背景介绍云原生标准化接口应用发布与运维视角降低理解成本一个开源云原生容器沙箱系统，它借助 Linux 的 LSM 技术（AppArmor&BPF）实现强制访问控制器，从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式，使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角，对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口，

6、具备开箱即用的特性。背景介绍降低安全策略的门槛云原生化部署和使用基本原理使用 AppArmor 和 BPF 两种Linux Security Module，在内核中对 Linux 容器进程进行强制访问控制。AppArmor LSM由 LKM 和 tools 构成需系统支持并启用（Debian,Ubuntu,OpenSUSE.）Kubernetes v1.4 开始支持Runtime 使用默认 Profile 对非特权容器加固默认 Profile 粒度较粗Profile 编写、调试、管理存在门槛BPF LSMLinux v5.7 引入需系统支持并启用（CONFIG_BPF_LSM=y 和 lsm=