在本節(jié)課程中，我們將開(kāi)始學(xué)習(xí)如何從攻擊者的角度思考，一起探討常見(jiàn)的容器和K8s攻擊手法，包含以下兩個(gè)主要內(nèi)容：

• 云原生環(huán)境的攻擊路徑: 了解云原生環(huán)境的整體攻擊流程。

• 云原生攻防矩陣: 云原生環(huán)境攻擊路徑的全景視圖，清晰每一步采取的攻擊技術(shù)。

在這里，我們梳理了一條相對(duì)完整的云原生環(huán)境的攻擊路徑，如圖所示，通過(guò)這張圖，我們可以清晰地看到整個(gè)攻擊流程，大致可以將攻擊路徑拆分為六個(gè)步驟。

1. 初始訪問(wèn)：攻擊者通過(guò)web滲透或社交工程等手段獲得初始訪問(wèn)權(quán)限。

2. 容器內(nèi)攻擊：攻擊者在容器內(nèi)執(zhí)行命令，通過(guò)信息收集和網(wǎng)絡(luò)探測(cè)，試圖獲取容器內(nèi)的敏感數(shù)據(jù)或?qū)ζ渌萜鬟M(jìn)行攻擊。

3. 容器逃逸：攻擊者嘗試?yán)萌萜鬟\(yùn)行時(shí)的漏洞或錯(cuò)誤配置，從一個(gè)容器逃逸到宿主機(jī)，以獲取更高的權(quán)限。

4. 橫向移動(dòng)：攻擊者在云原生環(huán)境中橫向移動(dòng)，從一個(gè)節(jié)點(diǎn)橫向到另一個(gè)節(jié)點(diǎn)，以獲取更高級(jí)別的權(quán)限。

5. 權(quán)限提升：攻擊者試圖獲取更高級(jí)別的權(quán)限，例如從普通用戶升級(jí)為管理員權(quán)限，獲取整體集權(quán)的訪問(wèn)權(quán)限。

6. 集群控制：攻擊者獲取對(duì)整個(gè)K8s集群的控制權(quán)，對(duì)云原生環(huán)境進(jìn)行控制或破壞，可能包括修改配置、竊取敏感數(shù)據(jù)、拒絕服務(wù)攻擊等。

借助ATT&CK框架，我們可以系統(tǒng)地整理和歸納容器和K8s的攻擊行為，從攻擊者的視角提煉出關(guān)鍵的戰(zhàn)術(shù)和技術(shù)，構(gòu)建一個(gè)全面的攻擊者視角的知識(shí)庫(kù)。

目前，多個(gè)云廠商和安全廠商都已經(jīng)梳理了多個(gè)針對(duì)容器安全的威脅矩陣，我們可以參考這些成熟的模型，結(jié)合個(gè)人對(duì)云原生安全的理解，構(gòu)建自己的攻防矩陣。然后通過(guò)不斷的學(xué)習(xí)和實(shí)踐，我們可以持續(xù)優(yōu)化和補(bǔ)充這個(gè)攻防矩陣，從而有效提升對(duì)云原生環(huán)境的保護(hù)能力。

針對(duì)云原生環(huán)境的攻擊技術(shù)，與傳統(tǒng)的基于Windows和Linux的通用攻擊技術(shù)有很大的不同，在這里，我們梳理了一個(gè)針對(duì)容器和K8s常見(jiàn)攻擊技術(shù)的云原生攻防矩陣。

視頻版：《云原生安全攻防》--云原生攻防矩陣