V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Explr
V2EX  ›  信息安全

有什么方案能缓解 Docker 容器被渗透后,攻击者通过内部网络向宿主机横向移动?

  •  
  •   Explr · 2021-06-03 22:37:55 +08:00 · 2516 次点击
    这是一个创建于 1029 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网络结构是这样,云服务器上装了 Docker,服务器的防火墙是云服务商提供的,容器内的服务需要访问云服务商提供的云数据库。

    从 Docker 容器内访问宿主机并不通过云服务商的防火墙,所以如果容器被渗透后,很容易向宿主机横向移动。

    有没有什么方案能缓解容器被渗透后向宿主机横向移动?比如用 iptables DROP 从容器到 10.0.0.0/8 、172.16.0.0/12 、192.168.0.0/16 的数据包可行吗?或者有什么更好的方案吗?

    暂时只考虑从内网上横向移动,不考虑容器被渗透后,攻击者利用 Docker 漏洞搞容器逃逸的情况。

    3 条回复    2021-06-04 00:33:23 +08:00
    NoahNye
        1
    NoahNye  
       2021-06-04 00:02:39 +08:00 via iPhone
    可以使用 macvlan 进行隔离
    namaketa
        2
    namaketa  
       2021-06-04 00:16:18 +08:00
    因为 docker 本身权限隔离一直做不好,容器逃逸明显比横向移动更致命
    横向移动本身也是一个说大不大说小不小的问题,不怕麻烦 iptables 默认 drop,nat 全写成静态指定端口一对一映射
    kennylam777
        3
    kennylam777  
       2021-06-04 00:33:23 +08:00
    k8s 的話就是 PodSecurityPolicy 能解決的問題,自建 docker 結構就自己造輪子吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1122 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 18:48 · PVG 02:48 · LAX 11:48 · JFK 14:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.