2. 您的位置
3. 首页
4. 会议论文
5. Docker容器逃逸的防御方法研究

Docker容器逃逸的防御方法研究

来源 :2020中国网络安全等级保护和关键信息基础设施保护大会 | 被引量 : 0次 | 上传用户：mnbvcxzxzh

【摘 要】

：

Docker 作为当下最主流的容器引擎，基于易打包、分发、部署以及快速、轻量的操作系统级虚拟化等特点，被广泛应用于云原生虚拟化环境。然而，由于Docker 与宿主机共享内核，具有容易受到容器逃逸的安全风险。攻击者可利用容器逃逸攻击影响到承载容器的底层基础设施的保密性、完整性和可用性。首先对Docker 容器逃逸技术进行概述，介绍其含义、根源以及ATT&CK 攻防矩阵。接着对Docker 容器逃逸的

【作 者】

：

陈俊杰 陈奋 陈荣有 

【机 构】

：

厦门服云信息科技有限公司,福建 厦门 361001

【出 处】

：

2020中国网络安全等级保护和关键信息基础设施保护大会

【发表日期】

：

2020年11期

【关键词】

：

Docker 容器逃逸 ATT&CK 防御 

下载到本地 , 更方便阅读

下载此文 赞助VIP

声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架

论文部分内容阅读

　　Docker 作为当下最主流的容器引擎，基于易打包、分发、部署以及快速、轻量的操作系统级虚拟化等特点，被广泛应用于云原生虚拟化环境。然而，由于Docker 与宿主机共享内核，具有容易受到容器逃逸的安全风险。攻击者可利用容器逃逸攻击影响到承载容器的底层基础设施的保密性、完整性和可用性。首先对Docker 容器逃逸技术进行概述，介绍其含义、根源以及ATT&CK 攻防矩阵。接着对Docker 容器逃逸的国内外研究现状进行介绍，并提出一套基于容器生命周期的防御方案。该方案具有较好的完备性，可帮助用户用低成本、高效率的方式做好容器逃逸的防御工作。

其他文献

系列光刻胶材料的制备与性质

本文简单介绍了近年来我们在光刻胶研究领域做的部分工作，主要包括：1.i-线正胶、负胶及厚膜光刻胶；2.248-nm 正胶、负胶及厚膜光刻胶；3.光敏聚酰亚胺正型光刻胶；4.有机溶剂显影的紫外正性厚膜光刻胶(类似SU-8 光刻胶)；5.纳米压印光刻胶；6.抗反射底涂层材料.这些光刻胶材料都是从感光成像的原理出发，进行不同的分子设计得到成膜树脂材料，再引入感光性基团或与其它光敏物质一起组合得到.包括常

会议

光刻胶重氮萘醌化学增幅光敏聚酰亚胺纳米压印抗反射d涂层

可聚合双光子引发剂

通过向亚苄基环戊酮分子骨架上引入可聚合的丙烯酸酯基团,合成了可聚合的可见光引发剂PBDA.用紫外光谱、核磁谱与高分辨质谱对其结构进行了鉴定.用掺钛蓝宝石激光器测试了其在750-880 nm 范围内的双光子吸收截面,最大值约400 GM.选用丙烯酸酯单体PEGDA400 和SR454 分别作为预聚物,研究了PBDA 的引发聚合性能.结果 表明在473 nm 激光光照下,PBDA 能有效引发两种单体的

会议

可聚合光引发剂亚苄基环戊酮低迁移生物安全性双光子聚合

关键信息基础设施安全防护能力模型

为指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，切实保障关键信息基础设施、重要网络和数据安全，公安部研究制定了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》；为推进关键信息基础设施工作开展，组织制定关键信息基础设施安全保护相关标准规范。通过对关键信息基础设施安全保护系列标准研究分析，梳理了关键信息基础设施主要内容和主要工作流程；结合关键信息

会议

关键信息基础设施网络安全安全防护理念安全防护能力安全能力模型

基于等级保护2.0的电力物联网信息安全质量评估研究

基于网络安全等级保护，从空域、时域、安全域三个方面，针对电力物联网安全机制，提出了一种多维度信息安全质量评估方法。通过分析安全机制的运行过程，调整域之间的权重，建立闭环模型，准确获得安全机制的量化开销。根据安全机制算法的代价、存储开销、运行开销等评估结果，及时调整信息安全等级和措施，促进了电力物联网安全机制的优化和完善。

会议

网络安全等级保护多维度信息安全质量评估方法闭环模型量化开销电力物联网安全机制

等保2.0时代网络安全产品标准分级必要性

随着《中华人民共和国网络安全法》的出台，等级保护2.0 落地实施，确定了网络安全等级保护工作的重要作用，开展网络安全建设和测评成为目前等级保护工作的重中之重.网络安全产品作为保障信息系统网络安全的重要元素，如何保证其满足网络安全保护等级要求，特别是在等保2.0“一个中心、三重防护”新体系架构下的产品等级适用性，成为等级保护系统建设以及测评中急需解决的问题.以等级保护2.0 基本要求为基础，阐述了实

会议

等保2.0网络安全产品分级管理

基于Python的等级测评辅助工具的设计与开发

采用理论框架与编程实施相结合的方式论述了基于Python 的等级测评辅助工具的设计与开发，具体阐述了Python 在等保测评过程中的过程资料填写、配置核查、管理制度测试以及渗透测试活动中的应用。该方法为提高等保测评活动的质量和效率提供了一种可行的思路，也为测评机构在自动化工具研发的投入方面增强了信心。

会议

自动化测试工具等保测评Python

接入控制在网络安全等级保护建设中的应用

为落实《网络安全法》和网络安全等级保护新标准的要求，消除网络中非法接入、资源滥用等安全隐患，中国证券业协会建设了接入控制系统，对接入网络的设备进行控制和管理，提升了网络安全防御能力。结合中国证券业协会实际，对网络安全需求及接入控制系统的关键技术进行分析，在此基础上提出了接入控制系统的总体设计，介绍了接入控制系统在中国证券业协会的实际部署及应用场景，最后对系统实施后的成效进行总结。

会议

等级保护网络安全接入控制

基于网络安全等级保护2.0的零信任架构研究

随着网络边界模糊化、业务形态异构化和数据流场景复杂化，传统的安全防护措施无法有效防范其面临的特定安全威胁.采用基于网络安全等级保护2.0 的零信任架构，可深入落实“一个中心，三重防护” 的纵深防御理念，有效防范复杂网络环境下，大量异构终端、复杂人员、多态业务形态下的网络安全风险.分析了美国国家标准与技术研究院发布的零信任架构组成及其局限性，提出了基于网络安全等级保护2.0 的零信任架构，并给出了部

会议

零信任局限性等级保护

等级保护下的区块链安全扩展要求研究

我国网络安全等级保护工作已步入新时代，在区块链应用越来越广泛的同时，应同步做好等级保护下的区块链安全.从等级保护2.0 标准的角度，给出了具体的可参考安全控制措施，为区块链安全保驾护航.

会议

等级保护区块链安全

浅谈社会工程学对网络安全等级保护的影响

网络安全技术发展至今，安全风险、安全漏洞已不仅仅是技术问题，更多的问题在于人员和管理。社会工程学并不利用系统漏洞入侵，因此在网络安全领域中，它属于非传统的信息安全问题。普通用户经常会安装硬件防火墙、入侵监测系统、虚拟专用网络或是安全软件产品，但这并不能保障安全。在特定情况下，即使用户尽可能使用所有安全手段，制定精密的安全解决方案和良好的防护措施，仍可能被社会工程学专家轻易绕过。这种入侵手段已经被广

会议

社会工程学网络安全等级测评