................................19 2.2 路径 1：镜像攻击....................................................................................... 21 2.2.1 镜像投毒攻击............................................... .................................21 2.2.2 镜像仓库攻击........................................................................................22 2.2.3 中间人攻击................................................ 4 敏感信息泄露攻击................................................................................22 2.2.5 针对镜像不安全配置的攻击................................................................ 22 2.3 路径 2：容器攻击.......

—— 从入门到实践 78 标准化开发测试和生产环境 评估 Docker 的安全性时，主要考虑三个方面: 由内核的名字空间和控制组机制提供的容器内在安全 Docker程序（特别是服务端）本身的抗攻击性 内核安全性的加强机制对容器安全性的影响 安全 Docker —— 从入门到实践 79 安全 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker run 的内存、CPU、磁盘 IO 等资源；当然， 更重要的是，控制组确保了当容器内的资源使用产生压力时不会连累主机系统。 尽管控制组不负责隔离容器之间相互访问、处理数据和进程，它在防止拒绝服务（DDOS）攻击方面是必 不可少的。尤其是在多用户的平台（比如公有或私有的 PaaS）上，控制组十分重要。例如，当某些应用程 序表现异常的时候，可以保证一致地正常运行和性能。 控制组机制始于 2006 年，内核从 为了加强对服务端的保护，Docker 的 REST API（客户端用来跟服务端通信）在 0.5.2 之后使用本地的 Unix 套接字机制替代了原先绑定在 127.0.0.1 上的 TCP 套接字，因为后者容易遭受跨站脚本攻击。现在用 户使用 Unix 权限检查来加强套接字的访问安全。 用户仍可以利用 HTTP 提供 REST API 访问。建议使用安全机制，确保只有可信的网络或 VPN，或证书保 护机制（例如受保护的

理和分发难度。 管理配置信息 212 安全 评估 Docker 的安全性时，主要考虑三个方面: 由内核的命名空间和控制组机制提供的容器内在安全 Docker 程序（特别是服务端）本身的抗攻击性 内核安全性的加强机制对容器安全性的影响 安全 213 内核命名空间 Docker 容器和 LXC 容器很相似，所提供的安全特性也差不多。当用 docker run 启动一个容 器时，在后台 的内存、CPU、磁盘 IO 等 资源；当然，更重要的是，控制组确保了当容器内的资源使用产生压力时不会连累主机系 统。 尽管控制组不负责隔离容器之间相互访问、处理数据和进程，它在防止拒绝服务（DDOS）攻 击方面是必不可少的。尤其是在多用户的平台（比如公有或私有的 PaaS）上，控制组十分重 要。例如，当某些应用程序表现异常的时候，可以保证一致地正常运行和性能。 控制组机制始于 2006 为了加强对服务端的保护，Docker 的 REST API（客户端用来跟服务端通信）在 0.5.2 之后 使用本地的 Unix 套接字机制替代了原先绑定在 127.0.0.1 上的 TCP 套接字，因为后者容易遭 受跨站脚本攻击。现在用户使用 Unix 权限检查来加强套接字的访问安全。 用户仍可以利用 HTTP 提供 REST API 访问。建议使用安全机制，确保只有可信的网络或 VPN，或证书保护机制（例如受保护的 stunnel

Aspen Mesh. All rights reserved. EP EP DDOS DPI Firewall Firewall Crypto Middleboxes in Network Demarc Network Architecture DDOS DPI Firewall DDOS DPI Firewall 17 ©2021 Aspen Mesh. All

smart DNS proxying (yet…) ● Further security middle boxes support ○ Deep packet inspection (DPI) ○ DDoS defense ○ Firewall ● Lack dedicated gateway support (architectural changes) ○ No separating out Ultimate goal ○ Proxyless services (for high performance) ● Offload ○ Traffic management ○ Security (DDoS defense…) ● HW acceleration ○ Crypto ○ Rule matching ● Further isolation w/ host ● CapEx, OpEx

注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit- connections.concurrent-tcp 限制通过同一源 IP 地址进行的并 发 TCP 连接数。它接受一个数字 值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 第 第 15 章 章 配置路由 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit-connections.rate- tcp 限制具有相同源 IP 地址的客户端 可以进行 TCP 连接的速率。它接 受一个数字值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router

TLS，国密 服务鉴权 Mirror 访问请求 MOSN 多种服务注册中心 SOFA Registry Nacos Etcd ZooKeeper 多协议接入 TLS，国密 WAF，DDos2/10 MOSN 核心能力沉淀  精细化路由  安全防护  多协议  可运维  可扩展 • 多版本发布 • 压测引流 • 服务分组 • 加密链路 • 国密算法 • 服务鉴权

security policies to control accesses to services. Deploy web application firewall to defend against DDoS, injection, remote execution attacks. Edge security Egress 2. Define egress security policies

University 2020 Estimating frequencies 17 ??? Vasiliki Kalavri | Boston University 2020 18 Detect DNS DDoS attacks • Flooding the resources of the targeted system by sending a large number of query from

防止分布式拒绝服务 (DDoS) 攻 击。 第 第 17 章 章 配置路由 配置路由 297 haproxy.router.openshift.io/r ate-limit- connections.concurrent-tcp 限制通过同一源 IP 地址进行的并 发 TCP 连接数。它接受一个数字 值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit-connections.rate- tcp 限制具有相同源 IP 地址的客户端 可以进行 TCP 连接的速率。它接 受一个数字值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router