CSDN云原生系列在线峰会｜攻方视角：从开源靶场看云原生安全

6月7日，CSDN云原生系列在线峰会第7期“安全技术峰会”正式开启。绿盟科技首席创新官刘文懋博士担任本场峰会的出品人，星云实验室安全研究员阮博男出席峰会并发表了《攻方视角：从开源靶场看云原生安全》的主题演讲，从靶场的角度分享了云原生攻防技术发展情况以及对于云原生安全的思考和实践。

1. Metarget项目发展概况

绿盟科技星云实验室长期从事云安全研究，在云原生安全研究日常工作中孵化出了Metarget靶场项目，该项目大大提高了团队的安全研究效率。为了赋能更多云原生安全研究者，推动国内外云原生安全技术发展，星云实验室于2021年5月在GitHub上开源了Metarget项目。项目一经开源便受到社区和业界的广泛关注。

到2022年5月，Metarget刚好开源一周年。在一年的时间里，有不少朋友关注并尝试Metarget，还有一些同学积极地为项目提交了代码。同时，我们也建立了“Metarget技术交流”微信群，营造了良好的云原生安全技术讨论氛围。

在Metarget的帮助下，研究人员能够构建多节点、多层次的云原生集群靶机环境，实现从容器化应用渗透测试到逃逸、横向移动、权限提升和持久化的多环节攻击链路模拟。

2. 从Metarget漏洞场景看云原生安全

截至目前，Metarget共支持自动化构建超过50种不同类型的云原生漏洞场景，覆盖Docker、Kubernetes、Linux Kernel、Kata Containers等多种云原生基础设施组成程序和危险的配置、挂载等运行时操作，场景类型包括容器逃逸、权限提升、拒绝服务、中间人攻击、服务暴露、流量劫持、服务端请求伪造和命令执行等。

从Metarget覆盖的漏洞场景中，站在以攻促防的视角，我们可以观察到云原生安全的三个特点：

一、推陈出新的容器逃逸技术。容器逃逸是云原生环境下最受关注、后果也最为严重的安全问题之一。容器逃逸技术可以归为四大类：利用云原生应用程序漏洞，如Docker和Kubernetes漏洞等；利用Linux内核漏洞；利用业务容器的危险配置；利用业务容器的危险挂载项。

在开源后的一年时间里，不断有新的容器逃逸场景加入到Metarget项目中，这些场景来自上述四大类别。由此可见，容器逃逸技术在不断推陈出新，软件栈上任何层次的疏漏都可能导致逃逸。因此，我们需要持续重视容器逃逸问题，安全建设任重道远。

二、层出不穷的符号链接问题。在梳理Metarget漏洞场景的过程中，我们观察到，许多漏洞都和Linux符号链接机制有关，这些漏洞的根本原因都是开发者未能正确处理涉及符号链接的操作，其中绝大多数漏洞的后果都是容器逃逸，十分严重。因此，我们建议云原生开发者要慎重对待Linux符号链接机制，确保符号链接操作被正确处理。

三、屡试不爽的Linux内核漏洞。2022年以来，不断有新的高危Linux内核漏洞曝光。经测试，这些漏洞均可在容器内部触发，导致容器逃逸。由于容器与宿主机共享内核，一旦Linux内核出现新漏洞，容器的隔离性将受到严重威胁。因此，我们建议运维人员及时修补Linux内核漏洞，避免攻击者利用Linux内核漏洞逃逸。

前面，我们看到了许多云原生环境的安全漏洞，那么如何应对这些云原生安全问题、有效保障云原生环境安全呢？我们认为，应对云原生业务的全生命周期进行整体安全设计和防护，例如，包括CI/CD安全、运行时安全等。

3. 总结与展望

最后，阮博男分享了Metarget项目的未来发展计划。在用户体验方面，我们希望提升Metarget的交互性和易用性，优化已有脆弱场景，并提高write-up覆盖率。除此之外，Metarget项目将覆盖更多的云原生基础设施程序漏洞场景、Linux内核漏洞场景，甚至考虑覆盖虚拟化漏洞场景。

未来，绿盟科技星云实验室希望将Metarget打造成云计算底层安全攻防研究的基础设施，助力云原生安全研究，促进云原生安全技术发展，也欢迎感兴趣的同学一起来参与Metarget项目建设。