NSA和CISA 联合发布Kubernetes 安全加固指南
编译:奇安信代码卫士
Kubernetes 最初由谷歌公司的工程师开发,随后由云原生计算基金会开源,它是当前最流行的容器协作软件。Kubernetes 主要用于基于云的基础设施内部,便于系统管理员使用软件容器部署新的 IT 资源。
然而,由于 Kubernetes 和 Docker 模型和传统的单片软件平台之间存在巨大不同,因此很多系统管理员在安全配置 Kubernetes 方面问题颇多。多年来,多款密币挖掘僵尸网络都在攻击这类配置错误问题。威胁行动者扫描互联网上被暴露的未认证的 Kubernetes 管理功能或者扫描在大型 Kubernetes 集群(如 Argo Workflow 或 Kubeflow)上运行的应用程序,获得对Kubernetes后端的访问权限,之后利用这种权限在受害者云基础设施上部署密币挖掘应用。这些攻击早在2017年初就已发生,而现在已发展为多个团伙为了利用同一个配置错误的集群而“大打出手”。
CISA 和 NSA 发布的这份指南旨在为系统管理员提供关于未来 Kubernetes 配置的安全基线,以避免遭受此类攻击。另外除了基本的配置指南外,这份报告还详述了企业和政府机构可采取的基本缓解措施,阻止或限制 Kubernetes 安全事件的严重性,包括:
扫描容器和 Pods,查找漏洞或配置错误问题。
尽可能以最小权限运行容器和 Pods。
使用网络分割来控制攻陷事件造成的损害。
使用防火墙来限制不必要的网络连接和加密以保护机密性。
使用强认证和授权限制用户和管理员访问权限以及限制攻击面。
使用日志审计,以便管理员能够监控活动并收到关于潜在恶意活动的警报。
定期审计所有的 Kubernetes 设置并使用漏洞扫描确保安全风险得到控制,补丁已应用。
完整指南可见:https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF
通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击
无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响
https://therecord.media/nsa-cisa-publish-kubernetes-hardening-guide/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。