在本節(jié)課程中，我們將開始學習如何從攻擊者的角度思考，一起探討常見的容器和K8s攻擊手法，包含以下兩個主要內(nèi)容：

• 云原生環(huán)境的攻擊路徑: 了解云原生環(huán)境的整體攻擊流程。

• 云原生攻防矩陣: 云原生環(huán)境攻擊路徑的全景視圖，清晰每一步采取的攻擊技術(shù)。

在這里，我們梳理了一條相對完整的云原生環(huán)境的攻擊路徑，如圖所示，通過這張圖，我們可以清晰地看到整個攻擊流程，大致可以將攻擊路徑拆分為六個步驟。

1. 初始訪問：攻擊者通過web滲透或社交工程等手段獲得初始訪問權(quán)限。

2. 容器內(nèi)攻擊：攻擊者在容器內(nèi)執(zhí)行命令，通過信息收集和網(wǎng)絡(luò)探測，試圖獲取容器內(nèi)的敏感數(shù)據(jù)或?qū)ζ渌萜鬟M行攻擊。

3. 容器逃逸：攻擊者嘗試利用容器運行時的漏洞或錯誤配置，從一個容器逃逸到宿主機，以獲取更高的權(quán)限。

4. 橫向移動：攻擊者在云原生環(huán)境中橫向移動，從一個節(jié)點橫向到另一個節(jié)點，以獲取更高級別的權(quán)限。

5. 權(quán)限提升：攻擊者試圖獲取更高級別的權(quán)限，例如從普通用戶升級為管理員權(quán)限，獲取整體集權(quán)的訪問權(quán)限。

6. 集群控制：攻擊者獲取對整個K8s集群的控制權(quán)，對云原生環(huán)境進行控制或破壞，可能包括修改配置、竊取敏感數(shù)據(jù)、拒絕服務攻擊等。

借助ATT&CK框架，我們可以系統(tǒng)地整理和歸納容器和K8s的攻擊行為，從攻擊者的視角提煉出關(guān)鍵的戰(zhàn)術(shù)和技術(shù)，構(gòu)建一個全面的攻擊者視角的知識庫。

目前，多個云廠商和安全廠商都已經(jīng)梳理了多個針對容器安全的威脅矩陣，我們可以參考這些成熟的模型，結(jié)合個人對云原生安全的理解，構(gòu)建自己的攻防矩陣。然后通過不斷的學習和實踐，我們可以持續(xù)優(yōu)化和補充這個攻防矩陣，從而有效提升對云原生環(huán)境的保護能力。

針對云原生環(huán)境的攻擊技術(shù)，與傳統(tǒng)的基于Windows和Linux的通用攻擊技術(shù)有很大的不同，在這里，我們梳理了一個針對容器和K8s常見攻擊技術(shù)的云原生攻防矩陣。

視頻版：《云原生安全攻防》--云原生攻防矩陣