CSDN云原生系列在線峰會｜攻方視角：從開源靶場看云原生安全

6月7日，CSDN云原生系列在線峰會第7期“安全技術峰會”正式開啟。綠盟科技首席創新官劉文懋博士擔任本場峰會的出品人，星云實驗室安全研究員阮博男出席峰會并發表了《攻方視角：從開源靶場看云原生安全》的主題演講，從靶場的角度分享了云原生攻防技術發展情況以及對于云原生安全的思考和實踐。

1. Metarget項目發展概況

綠盟科技星云實驗室長期從事云安全研究，在云原生安全研究日常工作中孵化出了Metarget靶場項目，該項目大大提高了團隊的安全研究效率。為了賦能更多云原生安全研究者，推動國內外云原生安全技術發展，星云實驗室于2021年5月在GitHub上開源了Metarget項目。項目一經開源便受到社區和業界的廣泛關注。

到2022年5月，Metarget剛好開源一周年。在一年的時間里，有不少朋友關注并嘗試Metarget，還有一些同學積極地為項目提交了代碼。同時，我們也建立了“Metarget技術交流”微信群，營造了良好的云原生安全技術討論氛圍。

在Metarget的幫助下，研究人員能夠構建多節點、多層次的云原生集群靶機環境，實現從容器化應用滲透測試到逃逸、橫向移動、權限提升和持久化的多環節攻擊鏈路模擬。

2. 從Metarget漏洞場景看云原生安全

截至目前，Metarget共支持自動化構建超過50種不同類型的云原生漏洞場景，覆蓋Docker、Kubernetes、Linux Kernel、Kata Containers等多種云原生基礎設施組成程序和危險的配置、掛載等運行時操作，場景類型包括容器逃逸、權限提升、拒絕服務、中間人攻擊、服務暴露、流量劫持、服務端請求偽造和命令執行等。

從Metarget覆蓋的漏洞場景中，站在以攻促防的視角，我們可以觀察到云原生安全的三個特點：

一、推陳出新的容器逃逸技術。容器逃逸是云原生環境下最受關注、后果也最為嚴重的安全問題之一。容器逃逸技術可以歸為四大類：利用云原生應用程序漏洞，如Docker和Kubernetes漏洞等；利用Linux內核漏洞；利用業務容器的危險配置；利用業務容器的危險掛載項。

在開源后的一年時間里，不斷有新的容器逃逸場景加入到Metarget項目中，這些場景來自上述四大類別。由此可見，容器逃逸技術在不斷推陳出新，軟件棧上任何層次的疏漏都可能導致逃逸。因此，我們需要持續重視容器逃逸問題，安全建設任重道遠。

二、層出不窮的符號鏈接問題。在梳理Metarget漏洞場景的過程中，我們觀察到，許多漏洞都和Linux符號鏈接機制有關，這些漏洞的根本原因都是開發者未能正確處理涉及符號鏈接的操作，其中絕大多數漏洞的后果都是容器逃逸，十分嚴重。因此，我們建議云原生開發者要慎重對待Linux符號鏈接機制，確保符號鏈接操作被正確處理。

三、屢試不爽的Linux內核漏洞。2022年以來，不斷有新的高危Linux內核漏洞曝光。經測試，這些漏洞均可在容器內部觸發，導致容器逃逸。由于容器與宿主機共享內核，一旦Linux內核出現新漏洞，容器的隔離性將受到嚴重威脅。因此，我們建議運維人員及時修補Linux內核漏洞，避免攻擊者利用Linux內核漏洞逃逸。

前面，我們看到了許多云原生環境的安全漏洞，那么如何應對這些云原生安全問題、有效保障云原生環境安全呢？我們認為，應對云原生業務的全生命周期進行整體安全設計和防護，例如，包括CI/CD安全、運行時安全等。

3. 總結與展望

最后，阮博男分享了Metarget項目的未來發展計劃。在用戶體驗方面，我們希望提升Metarget的交互性和易用性，優化已有脆弱場景，并提高write-up覆蓋率。除此之外，Metarget項目將覆蓋更多的云原生基礎設施程序漏洞場景、Linux內核漏洞場景，甚至考慮覆蓋虛擬化漏洞場景。

未來，綠盟科技星云實驗室希望將Metarget打造成云計算底層安全攻防研究的基礎設施，助力云原生安全研究，促進云原生安全技術發展，也歡迎感興趣的同學一起來參與Metarget項目建設。