每周，我們都會(huì)收到大量關(guān)于新數(shù)據(jù)或個(gè)人數(shù)據(jù)泄露的消息。這使得網(wǎng)絡(luò)安全也成為了任何IT項(xiàng)目的首要任務(wù)。黑客的攻擊模式和工具不斷創(chuàng)新和改進(jìn)。因此，密切關(guān)注新的威脅防護(hù)工具顯得尤為重要。

[[272223]]

保護(hù)網(wǎng)絡(luò)安全的方法之一是設(shè)置蜜罐。在本文中，我們將向你展示如何在Kubernetes集群中創(chuàng)建，配置和部署一個(gè)蜜罐誘餌。

我們將繼續(xù)與你分享我們與Kubernetes的工作經(jīng)驗(yàn)，Kubernetes是一個(gè)用于部署，擴(kuò)展和管理容器化應(yīng)用程序的開(kāi)源框架。在之前的文章中，我們也專門(mén)討論過(guò)了Kubernetes的基礎(chǔ)架構(gòu)和關(guān)鍵組件。

蜜罐簡(jiǎn)介

眾所周知，蜜罐是一種網(wǎng)絡(luò)安全機(jī)制，用于檢測(cè)和對(duì)抗黑客攻擊。這是一個(gè)置于網(wǎng)絡(luò)內(nèi)部的誘餌，它將自己偽裝成敏感的資產(chǎn)或網(wǎng)絡(luò)漏洞。當(dāng)攻擊者試圖訪問(wèn)這些偽造的機(jī)密數(shù)據(jù)時(shí)，蜜罐會(huì)記錄并通知該行為。蜜罐還會(huì)收集和分析有關(guān)黑客攻擊的數(shù)據(jù)。

蜜罐配置有兩種類型：

1、生產(chǎn)蜜罐主要由公司使用。它們可以提高企業(yè)系統(tǒng)的安全性，僅保護(hù)黑客最有可能訪問(wèn)的數(shù)據(jù)。生產(chǎn)蜜罐更易于部署和維護(hù)，因?yàn)樗鼈冎饕糜诜稚⒐粽叩淖⒁饬Α?/p>

2、研究蜜罐主要由網(wǎng)絡(luò)安全研究人員，政府和軍事組織使用。研究蜜罐的目標(biāo)不是阻止黑客，而是研究新的威脅和攻擊模式。

我們還可以將蜜罐分為：

• 低交互蜜罐，只復(fù)制最常見(jiàn)的攻擊服務(wù)。
• 高交互蜜罐，復(fù)制所有系統(tǒng)服務(wù)。
• 純蜜罐，是生產(chǎn)系統(tǒng)的完整副本，不包含任何的敏感數(shù)據(jù)。

在部署蜜罐之前，讓我們回顧一下我們?cè)诒窘坛讨行枰褂玫降腒ubernetes元素。

基本 Kubernetes 元素

Kubernetes是一個(gè)開(kāi)源的，用于管理云平臺(tái)中多個(gè)主機(jī)上的容器化的應(yīng)用。我們?cè)谥暗囊黄恼轮?，已?jīng)仔細(xì)研究和探討了它的架構(gòu)和功能。它包含有大量的內(nèi)置工具。在本教程中，我們將只使用以下四個(gè)組件：

• Pod – 一個(gè)基本的Kubernetes單元，用于為存儲(chǔ)的容器建模主機(jī)并創(chuàng)建容器運(yùn)行的環(huán)境。
• 集群(Cluster) – 運(yùn)行容器化應(yīng)用程序的一組節(jié)點(diǎn)。
• ReplicaSet – 一個(gè)副本控制器，用于確保在任何給定時(shí)刻運(yùn)行所需數(shù)量的容器。ReplicaSet定義有多個(gè)字段，其中包含有關(guān)此控制器應(yīng)保留的Pod類型和數(shù)量的信息以及用于創(chuàng)建新Pod的模板。
• 部署(Deployment) – 負(fù)責(zé)Pods和ReplicaSet的聲明性更新的控制器。部署控制器需要描述所需的狀態(tài)才能維護(hù)這兩個(gè)實(shí)體。

盡管功能豐富，但Kubernetes的使用卻非常的簡(jiǎn)單。它允許你操作高級(jí)實(shí)體(如，部署和StatefulSets)，而無(wú)需直接與Pod交互。

Kubernetes集群使用儀表板或稱為kubectl的嵌入式命令行工具進(jìn)行管理。在本文中，我們使用kubectl在Kubernetes集群中部署蜜罐系統(tǒng)，并收集有關(guān)基礎(chǔ)架構(gòu)當(dāng)前狀態(tài)的數(shù)據(jù)。

在 Kubernetes 中部署蜜罐

在了解了蜜罐和Kubernetes的基礎(chǔ)知識(shí)后，現(xiàn)在讓我們開(kāi)始在Kubernetes集群中創(chuàng)建蜜罐系統(tǒng)。

定義受保護(hù)的邊界：

讓我們開(kāi)始通過(guò)定義我們想要保護(hù)的資源來(lái)建立蜜罐。Kubernetes文檔包含了WordPress和MySQL部署的示例。我們可以使用此示例中的應(yīng)用程序和部署文件。 假設(shè)我們的Kubernetes網(wǎng)絡(luò)包含我們想要保護(hù)的敏感數(shù)據(jù)。

創(chuàng)建 MySQL 蜜罐：

我們需要選擇保護(hù)敏感數(shù)據(jù)的方法。最好的方法是創(chuàng)建一個(gè)MySQL服務(wù)誘餌。

為此，我們需要使用到MySQL蜜罐。在我們的教程中，我們將使用這個(gè)低交互蜜罐示例，你也可以使用你喜歡的任何其他模板。

在開(kāi)始之前，我們必須確保示例蜜罐正常工作。讓我們下載存儲(chǔ)庫(kù)：然后，我們需要?jiǎng)?chuàng)建Kubernetes文檔中描述的依賴項(xiàng)：

> git clone https://github.com/skyformat99/mysql-honeypotd ./honeypot 

然后，我們需要?jiǎng)?chuàng)建Kubernetes文檔中描述的依賴項(xiàng)：

> apt-get install libev-dev 

編譯項(xiàng)目：

> make 

如果kubectl沒(méi)有返回任何錯(cuò)誤，則我們可以啟動(dòng)該項(xiàng)目：

> ./mysql-honypotd -s 5.6 -n mysql-replica 

命令執(zhí)行后，MySQL蜜罐將啟動(dòng)并運(yùn)行?，F(xiàn)在，我們需要使用以下命令連接到它：

> mysql -root -h [host-IP] 
ERROR 1045 (28000): Access denied for user ‘user’@’ip’ 

蜜罐回應(yīng)了我們的請(qǐng)求，這說(shuō)明蜜罐已準(zhǔn)備就緒。讓我們來(lái)查看下它的日志：

mysql-replica: New connection from IP:PORT to host-IP 
mysql-replica: Access denied for user ‘user’ from IP:PORT to host-IP:3306 
mysql-replica: Closing connection for IP:PORT 

該記錄表示我們的蜜罐運(yùn)行一切正常。下一步是將蜜罐添加到Kubernetes集群。

創(chuàng)建蜜罐 Docker 鏡像：

在Kubernetes集群中啟動(dòng)我們的蜜罐之前，我們需要?jiǎng)?chuàng)建一個(gè)Docker鏡像。稍后我們將需要用它來(lái)啟動(dòng)Pod。

你可以通過(guò)以下四個(gè)簡(jiǎn)單的步驟來(lái)創(chuàng)建Docker鏡像：

1、選擇一個(gè)基本容器(在我們的示例中，將使用Ubuntu 14.04)。

2、設(shè)置一個(gè)工作目錄并將蜜罐復(fù)制到該目錄。

3、創(chuàng)建依賴項(xiàng)。

4、設(shè)置入口點(diǎn)。

所有這些步驟都需要記錄在Docker文件中：

FROM ubuntu:14.04 
WORKDIR /tmp/honeymsql 
COPY . ./ 
RUN apt-get update 
RUN apt-get install libev-dev 
ENTRYPOINT [“./mysql-honypotd”] 

現(xiàn)在，我們需要?jiǎng)?chuàng)建一個(gè)Docker鏡像：

> docker build -f ./Dockerfile -t mysql-honeypot:1  

構(gòu)建完成后，我們的本地Docker鏡像就可以使用了。為了創(chuàng)建一個(gè)Pod，我們必須將這個(gè)Docker鏡像上傳到Docker Hub：

> docker push dockerID/repositoryName 

此時(shí)，我們已在Pod中創(chuàng)建了一個(gè)MySQL蜜罐。

將蜜罐添加到 Kubernetes：

Pod的所需狀態(tài)由我們前面討論過(guò)的Deployment對(duì)象維護(hù)。開(kāi)始部署之前，我們需要先創(chuàng)建一個(gè)YAML文件?；诖?，Deployment自動(dòng)控制Pod的狀態(tài)。如有需要，我們可以使用ReplicaSet運(yùn)行多個(gè)蜜罐。

編寫(xiě)YAML文檔，你可以參考Kubernetes文檔。我們項(xiàng)目的聲明如下：

apiVersion: extensions/v1beta1 
kind: Deployment 
metadata: 
 name: mysql-replica 
spec: 
 replicas: 1 
 template: 
 metadata: 
 labels: 
 app: mysql-replica 
 spec: 
 containers: 
 - name: mysql-replica 
 image: dockerID/repo:tag 
 imagePullPolicy: Always 
 args: ["-s 5.6"] 
 securityContext: 
 privileged: true 

讓我們注意這個(gè)聲明中的兩行字符串：

image: dockerID/repo:tag 

這一行是指我們之前為了構(gòu)建Pod而創(chuàng)建的Docker鏡像。請(qǐng)注意，如果你使用私有存儲(chǔ)庫(kù)，則需要?jiǎng)?chuàng)建一個(gè)額外的Secrets對(duì)象，該對(duì)象將存儲(chǔ)訪問(wèn)令牌到鏡像。

args: ["-s 5.6"] 

該行定義了我們已啟動(dòng)的應(yīng)用程序的參數(shù)。我們可以在創(chuàng)建Docker鏡像時(shí)在入口點(diǎn)定義它們。但是這種方法不允許在未重構(gòu)鏡像的情況下更改參數(shù)。

在創(chuàng)建Pod時(shí)聲明參數(shù)使得設(shè)置應(yīng)用程序的過(guò)程更加靈活。

讓我們保存文件并創(chuàng)建一個(gè)Deployment資源：

> kubectl create -f honeypot-deployment.yaml 

現(xiàn)在，我們需要檢查Pod的狀況：

> kubectl get pods 
mysql-replica-5895cb77dd-9ltrr 1/1 Running 0 2m 

使用以下命令查看蜜罐是否按預(yù)期工作：

> mysql -root -h [POD-IP] 
ERROR 1045 (28000): Access denied for user ‘user’@’ip’ {/code} 

最后，讓我們來(lái)看看蜜罐日志：

> kubectl logs mysql-replica-5895cb77dd-9ltrr 
mysql-honeypotd[1]: New connection from IP:PORT to [POD-IP]:3306 
mysql-honeypotd[1]: Access denied for user 'user from IP:PORT to POD-IP:3306 
mysql-honeypotd[1]: Closing connection for IP:PORT 

任務(wù)完成!我們已成功在Kubernetes集群中創(chuàng)建，配置和部署了低交互蜜罐。

總結(jié)

在本教程中，我們向大家描述了如何在Kubernetes網(wǎng)絡(luò)中部署蜜罐的過(guò)程。此類誘餌陷阱對(duì)于我們研究黑客的攻擊模式，以及保護(hù)我們的敏感數(shù)據(jù)非常有用。而創(chuàng)建蜜罐誘餌的過(guò)程也非常簡(jiǎn)單，你只需具備一些基本的知識(shí)，就可以通過(guò)簡(jiǎn)單的四個(gè)步驟將蜜罐添加到你的Kubernetes基礎(chǔ)架構(gòu)中。

我們創(chuàng)建的MySQL誘餌是蜜罐技術(shù)的一個(gè)很好的例子。但是，蜜罐無(wú)法有效抵御零日攻擊。因此，蜜罐可以成為你額外的網(wǎng)絡(luò)安全工具，但你卻不能完全的依賴與它。