容器安全

最近发现了一个尚未公开的容器逃逸方法,当一个容器共享宿主机 PID namespace、且以 uid 为 0 运行(没有启用 user namespace、没有添加任何额外的 capabilities)时,可以利用某些进程的 /proc/[pid]/root 符号链接实现容器逃逸。
北京时间5月11日-12日,Black Hat Asia 2023(亚洲黑帽大会)在新加坡举办。Black Hat大会被公认为世界信息安全行业的顶级盛会,每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会。
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。
随着云计算技术的蓬勃发展,传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。
美团安全研究员,主要从事 Linux 内核安全及二进制程序安全等方向的研究,当前负责美团内部操作系统安全、云原生安全等方向的安全建设。
Elkeid (Bytedance Cloud Workload Protection Platform) 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践,Elkeid于2020年首次对外开源。
近期,在CIS2022大会上,字节跳动服务器安全效果负责人鹿恩哲做了《字节跳动云负载防护最佳实践》的主题分享,在分享中,鹿恩哲从字节跳动内部实践出发,分享字节跳动是如何面对复杂业务环境和部署环境进行全负载安全防护,并如何通过数据优化、告警归并和关联溯源等方式解决海量负载下的安全运营压力。
本文将结合我们在容器基础镜像方面的安全建设和运营实践,分享我们对于基础镜像的安全治理和安全运营的思考。

|云上新世界 容中见真章

云,无可置疑未来将形成统治地位,云安全也随之成为传统企业、互联网企业和安全企业的重点方向。而云安全中的容器安全,已有不少前人奠基铺路。
专题