第一期 Q&A 汇总｜长亭科技·云原生安全公开课

观看了“云原生安全趋势演进·云原生安全公开课第一期”，想必大家都有所发现和收获。下面收集了大家的一些问题并作出回答：

问题一：0day 可以防吗？
回答：要分是什么维度的 0day，比如容器逃逸的 0day，基于配置出现问题导致容器有 mount 权限可以直接挂载目录，这种情况是可以检测出来的。还有一种情况是基于内核漏洞，这种更多的是行为上的检测，如果满足通用行为序列也是能检测出来的。比如一个容器的进程操作了它没有权限操作的文件系统的目录，基于行为模式的分析可以判定有逃逸的可能。

问题二：可以讲一下云环境的应急场景吗？
回答：首先对于云原生的应急来说，它的难点其实不在于安全事件的处理本身。它的安全事件处理本身跟常规的应急响应没有太大的区别，云环境的应急的难点在于资产的梳理，比如我们发现一个 Pod 有挖矿的行为，首先要思考的它是一次临时性攻击还是供应链攻击，如果是供应链攻击的话，我们要通过 Pod 关联到镜像或者关联到 K8s 声明式的资源文件，然后去排查是否底层基础镜像会受到影响。所以云环境的应急更多的是资产粒度的梳理，就是说我们需要准确的定位。

问题三：涉及海量 K8s 原生的日志怎么去匹配特征？CNCF 提供全量的日志类型吗？
回答：K8s 原生提供 audit 功能，支持做审计，而审计数据源提供的方式有两种：本地 log 和 webhook，我们可以基于 webhook 去做审计。匹配的特征更多的是基于攻防场景去考虑，例如 CDK，可以从 K8s 里面抽取 CDK 创建后门时的固定特征，然后检测。我们是基于 OPA 实现 K8s 的检测。CNCF 本身没有提供全量日志类型，但在K8s 源码 api server 下的 EventList 结构，提供了日志类型。

问题四：问脉项目是完全开源的吗？可以二次开发吗？
回答：问脉走的是 MIT license，是可以二次开发的。lib没有公开，但 SDK 是开放出去的，目的是让使用不同语言的开发者都能使用问脉。问脉是采用宿主加插件的模式，你完全可以开发自己的插件去使用。

问题五：云原生项目中接入安全可以怎么做呢？
回答：首先要关注核心对象，保证核心对象的安全之后就能保证云原生的安全，至于接入模式，主要取决于公司的业务形态，因为现在很多企业都采用 K8s，以我个人经验之谈，直接对接 K8s 的成本是最低的。

问题六：用什么思路区别运维的特权行为和攻击者的横向行为呢？
回答：简单抛砖引玉讲个思路，对于运维来说不会去频繁列出所有 K8s 的 secrets，因为运维知道他有什么 secrets，但是对于攻击者来说刚拿到一个 K8s 环境，第一个要做的是看我的账号能访问哪些 secrets，然后就遍历访问，思考基于这些 secrets 我可以怎么去横向移动。

问题七：对镜像进行漏洞扫描是指分析组件和版本到漏洞库匹配漏洞吗？
回答：漏洞扫描呃目前主流的做法就是 SCA 软件成分分析，当然我们这边的漏扫是不止局限于 SCA，因为 SCA这个东西本身有局限性。举个例子比如说对于部分 java 漏洞，其实是要看 JDK 的版本，如果说你的 JDK 版本不符合某个版本范围，是会有影响的。我们一般是 SCA 加一个主机 poc 或者说镜像 poc 的模式去检测漏洞。

问题八：问脉可以扫描集群的镜像吗？这些镜像是从哪里收集起来的呢？
回答：问脉的产品版本是 SAAS 和私有化部署，是支持扫描集群里的镜像。收集的镜像是从集群里面解析出来的，我们支持旁路模式，所以不是在本地进行扫描。

问题九：镜像怎么打 poc 呢？
回答：我们这里的 poc 不是常规意义上远程扫描的 poc，你可以把它列成一个脚本，先去判断 JDK 脚本，然后去判断某些这个 Jar 包的特征，最终告诉你到底有没有这个漏洞。基于这样的模式，只要是一个文件系统就 OK 了。

云原生安全公开课第一期的 Q&A 环节就到此结束啦，后面的每一期都有很多干货！请大家多多参与、多多提问！让我们一起学习，共同进步，我们下期见！