国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

每個人都必須遵循的九項Kubernetes安全最佳實踐

endless_road / 2570人閱讀

摘要:的元數(shù)據(jù)隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權(quán)失敗可能意味著攻擊者試圖濫用被盜的憑據(jù)。年中國論壇提案征集現(xiàn)已開放論壇讓用戶開發(fā)人員從業(yè)人員匯聚一堂,面對面進行交流合作。

作者:StackRox產(chǎn)品經(jīng)理Connor Gilbert

上個月,Kubernetes(世界上最受歡迎的容器編排器)生態(tài)系統(tǒng)因發(fā)現(xiàn)Kubernetes的第一個主要安全漏洞而動搖。該漏洞(CVE-2018-1002105)使攻擊者能夠通過Kubernetes API服務(wù)器破壞集群,允許他們運行代碼來安裝惡意軟件等惡意活動。

今年早些時候,Tesla遭遇了復雜的加密貨幣挖掘惡意軟件感染,由Kubernetes控制臺錯誤配置引起。攻擊者利用了特定Kubernetes控制臺沒有密碼保護的事實,允許他們訪問其中一個包含Tesla大型AWS環(huán)境訪問憑據(jù)的pod。

隨著組織加速采用容器和容器編排器,他們需要采取必要措施來保護計算基礎(chǔ)架構(gòu)中的這一關(guān)鍵部分。為了幫助完成這項工作,請查看這九項根據(jù)客戶意見的Kubernetes安全最佳實踐,你應(yīng)遵循以幫助保護你的基礎(chǔ)架構(gòu)。

1.升級到最新版本

每個季度更新都會添加新的安全功能,而不僅僅是錯誤修復,為了充分利用它們,我們建議你運行最新的穩(wěn)定版本。最好的辦法是使用最新版本運行最新補丁,特別是考慮到CVE-2018-1002105的發(fā)現(xiàn)。越是落后升級和支持可能會越難,所以計劃每季度至少升級一次。使用托管的Kubernetes供應(yīng)商可以非常輕松地進行升級。

2.啟用基于角色的訪問控制(RBAC)

基于角色的訪問控制(RBAC)控制誰可以訪問Kubernetes API以及他們的權(quán)限。默認情況下,RBAC通常在Kubernetes 1.6及更高版本中啟用(某些托管供應(yīng)商稍遲),但如果你從那時起進行了升級并且未更改配置,則需要仔細檢查你的設(shè)置。由于Kubernetes授權(quán)控制器的組合方式,你必須同時啟用RBAC,并禁用傳統(tǒng)的基于屬性的訪問控制(ABAC)。

一旦實施了RBAC,你仍然需要有效地使用它。通常應(yīng)避免使用集群范圍的權(quán)限,而使用特定于命名空間的權(quán)限。避免給予任何集群管理員權(quán)限,即使是為了調(diào)試,僅在需要的情況下,根據(jù)具體情況授予訪問權(quán)限會更安全。

你可以使用kubectl get clusterrolebindingkubectl get rolebinding -all-namespaces來探索集群角色和角色。 快速檢查誰被授予特殊的“cluster-admin”角色,在這個例子中,它只是“masters”群:

如果你的應(yīng)用程序需要訪問Kubernetes API,請多帶帶創(chuàng)建服務(wù)帳戶,并為每個使用站點提供所需的最小權(quán)限集。這比為命名空間的默認帳戶授予過寬的權(quán)限要好。

大多數(shù)應(yīng)用程序根本不需要訪問API,對于這些可以將automountServiceAccountToken設(shè)置為“false”。

3.使用命名空間建立安全邊界

創(chuàng)建多帶帶的命名空間是組件之間重要的第一級隔離。當不同類型的工作負載部署在不同的命名空間中時,我們發(fā)現(xiàn)應(yīng)用安全控制(如網(wǎng)絡(luò)策略)要容易得多。

你的團隊是否有效地使用命名空間?通過檢查任何非默認命名空間來立即查找:

4.隔離敏感的工作負載

為了限制受損的潛在影響,最好在一組專用計算機上運行敏感的工作負載。此方法降低了通過共享容器運行時(runtime)或主機,安全性較低的應(yīng)用程序訪問敏感應(yīng)用程序的風險。例如,受損節(jié)點的kubelet憑證,通常只有在機密內(nèi)容安裝到該節(jié)點上安排的pod中時,才能訪問機密內(nèi)容。如果重要機密被安排到整個集群中的許多節(jié)點上,則攻擊者將有更多機會竊取它們。

你可以使用節(jié)點池(在云或本地)和Kubernetes命名空間、污點(taint)、容差和其他控件來實現(xiàn)隔離。

5.保障云元數(shù)據(jù)訪問安全

敏感元數(shù)據(jù)(例如kubelet管理員憑據(jù))有時會被盜或被濫用以升級集群中的權(quán)限。例如,最近的Shopify錯誤賞金(bug bounty)披露,詳細說明了用戶如何通過混淆微服務(wù),泄漏云供應(yīng)商的元數(shù)據(jù)服務(wù)信息來升級權(quán)限。GKE的元數(shù)據(jù)隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。在其他環(huán)境中可能需要類似的對策。

6.創(chuàng)建和定義集群網(wǎng)絡(luò)策略

網(wǎng)絡(luò)策略允許你控制進出容器化應(yīng)用程序的網(wǎng)絡(luò)訪問。要使用它們,你需要確保擁有支持此資源的網(wǎng)絡(luò)提供程序,對于一些托管的Kubernetes供應(yīng)商,例如Google Kubernetes Engine(GKE),你需要選擇啟用。(如果你的集群已經(jīng)存在,在GKE中啟用網(wǎng)絡(luò)策略將需要進行簡短的滾動升級。)一旦到位,請從一些基本默認網(wǎng)絡(luò)策略開始,例如默認阻止來自其他命名空間的流量。

如果你在Google容器引擎中運行,可以檢查集群是否在啟用了策略支持的情況下運行:

7.運行集群范圍的Pod安全策略

Pod安全策略設(shè)置在集群中允許運行工作負載的默認值。考慮定義策略,并啟用Pod安全策略許可控制器,指令因云供應(yīng)商或部署模型而異。首先,你可以要求部署刪除NET_RAW功能,以抵御某些類型的網(wǎng)絡(luò)欺騙攻擊。

8.加固節(jié)點安全

你可以按照以下三個步驟來改進節(jié)點上的安全狀態(tài):

確保主機安全且配置正確。其一方法是根據(jù)CIS基準檢查你的配置。許多產(chǎn)品都有自動檢查器,可以自動評估這些標準的符合性。

控制對敏感端口的網(wǎng)絡(luò)訪問。確保你的網(wǎng)絡(luò)阻止訪問kubelet使用的端口,包括10250和10255。考慮除了可信網(wǎng)絡(luò)以外限制對Kubernetes API服務(wù)器的訪問。惡意用戶濫用對這些端口的訪問權(quán)限,在未配置為需要在kubelet API服務(wù)器上進行身份驗證和授權(quán)的集群中運行加密貨幣挖掘。

限制對Kubernetes節(jié)點的管理訪問。通常應(yīng)限制對集群中節(jié)點的訪問。調(diào)試和其他任務(wù)通常可以在不直接訪問節(jié)點的情況下處理。

9.啟用審核日志記錄

確保你已啟用審核日志,并監(jiān)視它們是否存在異常或不需要的API調(diào)用,尤其是任何授權(quán)失敗,這些日志條目將顯示狀態(tài)消息“禁止(Forbidden)”。授權(quán)失敗可能意味著攻擊者試圖濫用被盜的憑據(jù)。托管Kubernetes供應(yīng)商(包括GKE),在其云控制臺中提供此數(shù)據(jù),并允許你設(shè)置授權(quán)失敗警報。

下一步

遵循這些建議以獲得更安全的Kubernetes集群。請記住,即使你按照這些提示安全地配置Kubernetes集群,你仍然需要在容器配置的其他方面及其運行時操作中構(gòu)建安全性。在提高技術(shù)堆棧的安全性時,尋找能夠為容器部署提供中心治理點的工具,并為容器和云原生應(yīng)用程序提供持續(xù)監(jiān)控和保護。


2019年KubeCon + CloudNativeCon中國論壇提案征集(CFP)現(xiàn)已開放

KubeCon + CloudNativeCon 論壇讓用戶、開發(fā)人員、從業(yè)人員匯聚一堂,面對面進行交流合作。與會人員有 Kubernetes、Prometheus 及其他云原生計算基金會 (CNCF) 主辦項目的領(lǐng)導,和我們一同探討云原生生態(tài)系統(tǒng)發(fā)展方向。

2019年中國開源峰會提案征集(CFP)現(xiàn)已開放

在中國開源峰會上,與會者將共同合作及共享信息,了解最新和最有趣的開源技術(shù),包括 Linux、容器、云技術(shù)、網(wǎng)絡(luò)、微服務(wù)等;并獲得如何在開源社區(qū)中導向和引領(lǐng)的信息。

大會日期:

提案征集截止日期:太平洋標準時間 2 月 15 日,星期五,晚上 11:59

提案征集通知日期:2019 年 4 月 1 日

會議日程通告日期:2019 年 4 月 3 日

幻燈片提交截止日期:6 月 17 日,星期一

會議活動舉辦日期:2019 年 6 月 24 至 26 日

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11443.html

相關(guān)文章

  • 每個人都必須遵循九項Kubernetes安全最佳實踐

    摘要:的元數(shù)據(jù)隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權(quán)失敗可能意味著攻擊者試圖濫用被盜的憑據(jù)。年中國論壇提案征集現(xiàn)已開放論壇讓用戶開發(fā)人員從業(yè)人員匯聚一堂,面對面進行交流合作。 作者:StackRox產(chǎn)品經(jīng)理Connor Gilbert 上個月,Kubernetes(世界上最受歡迎的容器編排器)生態(tài)系統(tǒng)因發(fā)現(xiàn)Kubernetes的第一個主要安全漏洞而動搖...

    jzman 評論0 收藏0
  • 每個人都必須遵循九項Kubernetes安全最佳實踐

    摘要:的元數(shù)據(jù)隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權(quán)失敗可能意味著攻擊者試圖濫用被盜的憑據(jù)。年中國論壇提案征集現(xiàn)已開放論壇讓用戶開發(fā)人員從業(yè)人員匯聚一堂,面對面進行交流合作。 作者:StackRox產(chǎn)品經(jīng)理Connor Gilbert 上個月,Kubernetes(世界上最受歡迎的容器編排器)生態(tài)系統(tǒng)因發(fā)現(xiàn)Kubernetes的第一個主要安全漏洞而動搖...

    Travis 評論0 收藏0
  • 簡介:CII最佳實踐徽章 - CNCF畢業(yè)標準要求之一

    摘要:已經(jīng)實現(xiàn)并維護了核心基礎(chǔ)結(jié)構(gòu)計劃的最佳實踐徽章。年中國開源峰會提案征集現(xiàn)已開放在中國開源峰會上,與會者將共同合作及共享信息,了解最新和最有趣的開源技術(shù),包括容器云技術(shù)網(wǎng)絡(luò)微服務(wù)等并獲得如何在開源社區(qū)中導向和引領(lǐng)的信息。 從沙箱或孵化狀態(tài)畢業(yè),或者作為一個新項目加入作為一個畢業(yè)項目,項目必須符合孵化階段標準以及: 有來自至少兩個機構(gòu)的提交者。 已經(jīng)實現(xiàn)并維護了核心基礎(chǔ)結(jié)構(gòu)計劃(CII)...

    jzman 評論0 收藏0
  • K8S安全軍規(guī)101:對CNCF最佳實踐的擴充

    摘要:安全的云元數(shù)據(jù)訪問該建議指出,敏感的元數(shù)據(jù)有時可能被盜或被濫用,但未能概述何時或如何的條件。雖然上篇文章指出具有元數(shù)據(jù)隱藏的功能,但值得注意的是,在最開始泄露憑據(jù)的服務(wù),正是元數(shù)據(jù)。我還認為云提供商不應(yīng)該將憑證嵌入到可通過訪問的元數(shù)據(jù)中。 在上篇文章里,我們分享了CNCF為廣大Kubernetes用戶建議的9項Kubernetes安全最佳實踐,分享了用戶使用Kubernetes管理集群...

    phpmatt 評論0 收藏0
  • 9項你不得不知道的Kubernetes安全最佳實踐

    摘要:今年年初,由于控制臺中的配置錯誤,特斯拉被一個惡意挖掘加密貨幣的軟件所感染。為了幫助您完成這項工作,本文將為您介紹項安全最佳實踐。授權(quán)失敗可能意味著攻擊者試圖濫用被盜憑據(jù)。 上個月,全球最受歡迎的容器編排引擎Kubernetes,被爆出首個嚴重的安全漏洞,使得整個Kubernetes生態(tài)發(fā)生震蕩。該漏洞(CVE-2018-1002105)使攻擊者能夠通過Kubernetes API服務(wù)...

    wslongchen 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<