컨테이너 브레이크 아웃 방지

[uni2u]

컨테이너 브레이크 아웃 방지

• 공격을 통해 호스트 내 네임스페이스 격리 제거

브레이크 아웃 조건

• 컨테이너 내에서 관리자 권한 실행
• 컨테이너는 SYS_ADMIN Linux capability 로 실행
• AppArmor 프로파일이 없거나 mount syscall 허용
  • 예) --security-opt apparmor=unconfined --cap-add=SYS_ADMIN

시나리오

• malware 감염 컨테이너 이미지 (image repository)
• 해당 컨테이너 생성
  • malware (악성코드) 실행
  • host 와 격리 breakout
• 공격자 접속
  • 호스트 내부 주요 정보 탈취

솔루션

• 이미지 취약성 검증
• 관리자 권한을 통한 컨테이너 생성
• 컨테이너 런타임 시 악성코드 검증

[uni2u]

• 2월 개발 완료됨 (자체 보고)
  • webhook 서버에서 K8s CIS 벤치마크 검증을 통한 구성 확인
• 이미지 취약성 검증 기능으로 보임
  • (런타임 중심 보안) 런타임 시 악성코드 검증 유무 확인 필요
  • 해당 기능이 런타임과 관련 없는 경우 close 예정