摘要:的元數據隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權失敗可能意味著攻擊者試圖濫用被盜的憑據。年中國論壇提案征集現已開放論壇讓用戶開發人員從業人員匯聚一堂,面對面進行交流合作。
作者:StackRox產品經理Connor Gilbert
上個月,Kubernetes(世界上最受歡迎的容器編排器)生態系統因發現Kubernetes的第一個主要安全漏洞而動搖。該漏洞(CVE-2018-1002105)使攻擊者能夠通過Kubernetes API服務器破壞集群,允許他們運行代碼來安裝惡意軟件等惡意活動。
今年早些時候,Tesla遭遇了復雜的加密貨幣挖掘惡意軟件感染,由Kubernetes控制臺錯誤配置引起。攻擊者利用了特定Kubernetes控制臺沒有密碼保護的事實,允許他們訪問其中一個包含Tesla大型AWS環境訪問憑據的pod。
隨著組織加速采用容器和容器編排器,他們需要采取必要措施來保護計算基礎架構中的這一關鍵部分。為了幫助完成這項工作,請查看這九項根據客戶意見的Kubernetes安全最佳實踐,你應遵循以幫助保護你的基礎架構。
1.升級到最新版本每個季度更新都會添加新的安全功能,而不僅僅是錯誤修復,為了充分利用它們,我們建議你運行最新的穩定版本。最好的辦法是使用最新版本運行最新補丁,特別是考慮到CVE-2018-1002105的發現。越是落后升級和支持可能會越難,所以計劃每季度至少升級一次。使用托管的Kubernetes供應商可以非常輕松地進行升級。
2.啟用基于角色的訪問控制(RBAC)基于角色的訪問控制(RBAC)控制誰可以訪問Kubernetes API以及他們的權限。默認情況下,RBAC通常在Kubernetes 1.6及更高版本中啟用(某些托管供應商稍遲),但如果你從那時起進行了升級并且未更改配置,則需要仔細檢查你的設置。由于Kubernetes授權控制器的組合方式,你必須同時啟用RBAC,并禁用傳統的基于屬性的訪問控制(ABAC)。
一旦實施了RBAC,你仍然需要有效地使用它。通常應避免使用集群范圍的權限,而使用特定于命名空間的權限。避免給予任何集群管理員權限,即使是為了調試,僅在需要的情況下,根據具體情況授予訪問權限會更安全。
你可以使用kubectl get clusterrolebinding或kubectl get rolebinding -all-namespaces來探索集群角色和角色。 快速檢查誰被授予特殊的“cluster-admin”角色,在這個例子中,它只是“masters”群:
如果你的應用程序需要訪問Kubernetes API,請多帶帶創建服務帳戶,并為每個使用站點提供所需的最小權限集。這比為命名空間的默認帳戶授予過寬的權限要好。
大多數應用程序根本不需要訪問API,對于這些可以將automountServiceAccountToken設置為“false”。
3.使用命名空間建立安全邊界創建多帶帶的命名空間是組件之間重要的第一級隔離。當不同類型的工作負載部署在不同的命名空間中時,我們發現應用安全控制(如網絡策略)要容易得多。
你的團隊是否有效地使用命名空間?通過檢查任何非默認命名空間來立即查找:
4.隔離敏感的工作負載為了限制受損的潛在影響,最好在一組專用計算機上運行敏感的工作負載。此方法降低了通過共享容器運行時(runtime)或主機,安全性較低的應用程序訪問敏感應用程序的風險。例如,受損節點的kubelet憑證,通常只有在機密內容安裝到該節點上安排的pod中時,才能訪問機密內容。如果重要機密被安排到整個集群中的許多節點上,則攻擊者將有更多機會竊取它們。
你可以使用節點池(在云或本地)和Kubernetes命名空間、污點(taint)、容差和其他控件來實現隔離。
5.保障云元數據訪問安全敏感元數據(例如kubelet管理員憑據)有時會被盜或被濫用以升級集群中的權限。例如,最近的Shopify錯誤賞金(bug bounty)披露,詳細說明了用戶如何通過混淆微服務,泄漏云供應商的元數據服務信息來升級權限。GKE的元數據隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。在其他環境中可能需要類似的對策。
6.創建和定義集群網絡策略網絡策略允許你控制進出容器化應用程序的網絡訪問。要使用它們,你需要確保擁有支持此資源的網絡提供程序,對于一些托管的Kubernetes供應商,例如Google Kubernetes Engine(GKE),你需要選擇啟用。(如果你的集群已經存在,在GKE中啟用網絡策略將需要進行簡短的滾動升級。)一旦到位,請從一些基本默認網絡策略開始,例如默認阻止來自其他命名空間的流量。
如果你在Google容器引擎中運行,可以檢查集群是否在啟用了策略支持的情況下運行:
7.運行集群范圍的Pod安全策略Pod安全策略設置在集群中允許運行工作負載的默認值。考慮定義策略,并啟用Pod安全策略許可控制器,指令因云供應商或部署模型而異。首先,你可以要求部署刪除NET_RAW功能,以抵御某些類型的網絡欺騙攻擊。
8.加固節點安全你可以按照以下三個步驟來改進節點上的安全狀態:
確保主機安全且配置正確。其一方法是根據CIS基準檢查你的配置。許多產品都有自動檢查器,可以自動評估這些標準的符合性。
控制對敏感端口的網絡訪問。確保你的網絡阻止訪問kubelet使用的端口,包括10250和10255。考慮除了可信網絡以外限制對Kubernetes API服務器的訪問。惡意用戶濫用對這些端口的訪問權限,在未配置為需要在kubelet API服務器上進行身份驗證和授權的集群中運行加密貨幣挖掘。
限制對Kubernetes節點的管理訪問。通常應限制對集群中節點的訪問。調試和其他任務通常可以在不直接訪問節點的情況下處理。
9.啟用審核日志記錄確保你已啟用審核日志,并監視它們是否存在異?;虿恍枰腁PI調用,尤其是任何授權失敗,這些日志條目將顯示狀態消息“禁止(Forbidden)”。授權失敗可能意味著攻擊者試圖濫用被盜的憑據。托管Kubernetes供應商(包括GKE),在其云控制臺中提供此數據,并允許你設置授權失敗警報。
下一步遵循這些建議以獲得更安全的Kubernetes集群。請記住,即使你按照這些提示安全地配置Kubernetes集群,你仍然需要在容器配置的其他方面及其運行時操作中構建安全性。在提高技術堆棧的安全性時,尋找能夠為容器部署提供中心治理點的工具,并為容器和云原生應用程序提供持續監控和保護。
2019年KubeCon + CloudNativeCon中國論壇提案征集(CFP)現已開放
KubeCon + CloudNativeCon 論壇讓用戶、開發人員、從業人員匯聚一堂,面對面進行交流合作。與會人員有 Kubernetes、Prometheus 及其他云原生計算基金會 (CNCF) 主辦項目的領導,和我們一同探討云原生生態系統發展方向。
2019年中國開源峰會提案征集(CFP)現已開放
在中國開源峰會上,與會者將共同合作及共享信息,了解最新和最有趣的開源技術,包括 Linux、容器、云技術、網絡、微服務等;并獲得如何在開源社區中導向和引領的信息。
大會日期:
提案征集截止日期:太平洋標準時間 2 月 15 日,星期五,晚上 11:59
提案征集通知日期:2019 年 4 月 1 日
會議日程通告日期:2019 年 4 月 3 日
幻燈片提交截止日期:6 月 17 日,星期一
會議活動舉辦日期:2019 年 6 月 24 至 26 日
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/33126.html
摘要:的元數據隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權失敗可能意味著攻擊者試圖濫用被盜的憑據。年中國論壇提案征集現已開放論壇讓用戶開發人員從業人員匯聚一堂,面對面進行交流合作。 作者:StackRox產品經理Connor Gilbert 上個月,Kubernetes(世界上最受歡迎的容器編排器)生態系統因發現Kubernetes的第一個主要安全漏洞而動搖...
摘要:的元數據隱藏功能會更改集群部署機制以避免此暴露,我們建議使用它直到有永久解決方案。授權失敗可能意味著攻擊者試圖濫用被盜的憑據。年中國論壇提案征集現已開放論壇讓用戶開發人員從業人員匯聚一堂,面對面進行交流合作。 作者:StackRox產品經理Connor Gilbert 上個月,Kubernetes(世界上最受歡迎的容器編排器)生態系統因發現Kubernetes的第一個主要安全漏洞而動搖...
摘要:已經實現并維護了核心基礎結構計劃的最佳實踐徽章。年中國開源峰會提案征集現已開放在中國開源峰會上,與會者將共同合作及共享信息,了解最新和最有趣的開源技術,包括容器云技術網絡微服務等并獲得如何在開源社區中導向和引領的信息。 從沙箱或孵化狀態畢業,或者作為一個新項目加入作為一個畢業項目,項目必須符合孵化階段標準以及: 有來自至少兩個機構的提交者。 已經實現并維護了核心基礎結構計劃(CII)...
摘要:安全的云元數據訪問該建議指出,敏感的元數據有時可能被盜或被濫用,但未能概述何時或如何的條件。雖然上篇文章指出具有元數據隱藏的功能,但值得注意的是,在最開始泄露憑據的服務,正是元數據。我還認為云提供商不應該將憑證嵌入到可通過訪問的元數據中。 在上篇文章里,我們分享了CNCF為廣大Kubernetes用戶建議的9項Kubernetes安全最佳實踐,分享了用戶使用Kubernetes管理集群...
摘要:今年年初,由于控制臺中的配置錯誤,特斯拉被一個惡意挖掘加密貨幣的軟件所感染。為了幫助您完成這項工作,本文將為您介紹項安全最佳實踐。授權失敗可能意味著攻擊者試圖濫用被盜憑據。 上個月,全球最受歡迎的容器編排引擎Kubernetes,被爆出首個嚴重的安全漏洞,使得整個Kubernetes生態發生震蕩。該漏洞(CVE-2018-1002105)使攻擊者能夠通過Kubernetes API服務...
閱讀 2864·2021-11-16 11:55
閱讀 2608·2021-09-29 09:34
閱讀 3405·2021-09-01 14:21
閱讀 3753·2019-08-29 12:36
閱讀 697·2019-08-26 10:55
閱讀 3959·2019-08-26 10:20
閱讀 1026·2019-08-23 18:19
閱讀 1194·2019-08-23 17:56