摘要:今年年初�����,由于控制臺(tái)中的配置錯(cuò)誤�����,特斯拉被一個(gè)惡意挖掘加密貨幣的軟件所感染�����。為了幫助您完成這項(xiàng)工作,本文將為您介紹項(xiàng)安全最佳實(shí)踐����。授權(quán)失敗可能意味著攻擊者試圖濫用被盜憑據(jù)。
上個(gè)月�����,全球最受歡迎的容器編排引擎Kubernetes��,被爆出首個(gè)嚴(yán)重的安全漏洞��,使得整個(gè)Kubernetes生態(tài)發(fā)生震蕩��。該漏洞(CVE-2018-1002105)使攻擊者能夠通過(guò)Kubernetes API服務(wù)器破壞集群����,允許他們運(yùn)行代碼來(lái)執(zhí)行一些惡意活動(dòng),比如安裝惡意軟件等�����。
今年年初��,由于Kubernetes控制臺(tái)中的配置錯(cuò)誤,特斯拉被一個(gè)惡意挖掘加密貨幣的軟件所感染����。攻擊者利用了特定Kubernetes控制臺(tái)沒(méi)有密碼保護(hù)的這一漏洞��,訪問(wèn)其中一個(gè)包含特斯拉大型AWS環(huán)境訪問(wèn)憑據(jù)的pod����。
隨著越來(lái)越多的企業(yè)開(kāi)始使用容器以及容器編排引擎,他們需要采取必要的措施來(lái)保護(hù)計(jì)算機(jī)基礎(chǔ)架構(gòu)中的這一關(guān)鍵部分��。為了幫助您完成這項(xiàng)工作��,本文將為您介紹9項(xiàng)Kubernetes安全最佳實(shí)踐���。
01 升級(jí)到最新版本
每一季度的更新都會(huì)添加新的安全相關(guān)功能����,而不僅僅是修復(fù)bug�,為了充分利用這些安全特性,我們建議您始終保持運(yùn)行最新的穩(wěn)定版本����。
02 啟用基于角色的訪問(wèn)控制(RBAC)
控制誰(shuí)可以訪問(wèn)Kubernetes API以及他們對(duì)基于角色的訪問(wèn)控制(RBAC)的權(quán)限����。默認(rèn)情況下�,RBAC通常在Kubernetes 1.6及更高版本中啟用,但如果您從那時(shí)起進(jìn)行了升級(jí)并且沒(méi)有更改配置����,則需要仔細(xì)檢查您的設(shè)置。由于Kubernetes授權(quán)控制器的組合方式��,您必須同時(shí)啟用RBAC并禁用傳統(tǒng)的基于屬性的訪問(wèn)控制(ABAC)����。
啟用RBAC之后,您還需要有效地使用它�。為了特定命名空間的許可,您通常需要避免集群范圍的權(quán)限�。即便是為了調(diào)試,也應(yīng)避免給予任何集群管理員權(quán)限�����,而是僅在需要的情況下根據(jù)具體情況授予訪問(wèn)權(quán)限����,以提高安全性���。
您可以使用kubectl get clusterrolebinding或kubectl get rolebinding -all-namespaces來(lái)探索集群角色和角色。同時(shí)���,快速檢查誰(shuí)被授予了特殊的“cluster-admin”角色�����,在這個(gè)例子中��,它是“master”組:
如果您的應(yīng)用程序需要訪問(wèn)Kubernetes API����,請(qǐng)多帶帶創(chuàng)建服務(wù)帳戶(hù)��,并為每個(gè)使用站點(diǎn)提供所需的最小權(quán)限集�。這優(yōu)于為命名空間的默認(rèn)帳戶(hù)授予過(guò)寬的權(quán)限��。
大多數(shù)應(yīng)用程序根本不需要訪問(wèn)API�����, 對(duì)于這一情況���,可以將automountServiceAccountToken設(shè)置為“false”��。
03 使用命名空間建立安全邊界
創(chuàng)建多帶帶的命名空間是組件之間重要的第一層隔離��。當(dāng)不同類(lèi)型的工作負(fù)載部署在不同的命名空間中時(shí)��,我們發(fā)現(xiàn)應(yīng)用安全控制(如網(wǎng)絡(luò)策略)要容易得多�。
您的團(tuán)隊(duì)有在高效地使用命名空間嗎?檢查一下那些非默認(rèn)命名空間����,即可確認(rèn)了:
04 將敏感工作負(fù)載彼此分開(kāi)
為了將潛在的破壞影響力限制在最小值,最好在一組專(zhuān)用計(jì)算機(jī)上運(yùn)行敏感工作負(fù)載���。此方法降低了通過(guò)共享容器運(yùn)行時(shí)或主機(jī)的安全性較低的應(yīng)用程序訪問(wèn)敏感應(yīng)用程序的風(fēng)險(xiǎn)�����。例如�,受損節(jié)點(diǎn)的kubelet憑證通常只有在安裝到該節(jié)點(diǎn)上安排的pod中時(shí)才能訪問(wèn)機(jī)密內(nèi)容����,如果重要機(jī)密被安排到整個(gè)集群中的許多節(jié)點(diǎn)上,則攻擊者將有更多機(jī)會(huì)竊取它們����。
您可以使用節(jié)點(diǎn)池(在云或本地)和Kubernetes命名空間�����、污點(diǎn)(taints)����、容差(tolerations)和其他控件來(lái)實(shí)現(xiàn)此分離���。
05 安全的云元數(shù)據(jù)訪問(wèn)
敏感元數(shù)據(jù)(例如kubelet管理員憑據(jù))有時(shí)會(huì)被盜或被濫用來(lái)升級(jí)集群中的權(quán)限�����。最近Shopify的賞金細(xì)節(jié)泄露bug就是一例���。這說(shuō)明了用戶(hù)能夠通過(guò)將微服務(wù)混淆為云提供商的元數(shù)據(jù)服務(wù)泄露信息來(lái)升級(jí)權(quán)限�。GKE的元數(shù)據(jù)隱藏功能可以更改群集部署機(jī)制以避免此暴露,我們建議您在找到另一個(gè)永久的替代解決方案之前����,一直使用這一功能。在其他環(huán)境中可能也需要類(lèi)似的對(duì)策��。
06 創(chuàng)建和定義集群網(wǎng)絡(luò)策略
網(wǎng)絡(luò)策略允許您控制進(jìn)出容器化應(yīng)用程序的網(wǎng)絡(luò)訪問(wèn)。要使用它們��,您需要確保擁有支持此資源的網(wǎng)絡(luò)提供程序��,對(duì)于一些托管的Kubernetes提供商����,例如Google Kubernetes Engine(GKE),您需要選擇加入����。(如果您的集群已存在,則在GKE中啟用網(wǎng)絡(luò)策略需要進(jìn)行簡(jiǎn)短的滾動(dòng)升級(jí)���。)一旦到位���,請(qǐng)從一些基本的默認(rèn)網(wǎng)絡(luò)策略開(kāi)始,例如默認(rèn)阻止來(lái)自其他命名空間的流量��。
如果您在GKE中運(yùn)行��,則可以檢查集群是否在啟用了策略支持的情況下運(yùn)行:
07
運(yùn)行集群范圍的Pod安全策略
Pod安全策略設(shè)置了允許在集群中運(yùn)行工作負(fù)載的默認(rèn)值�����。考慮定義策略并啟用Pod安全策略許可控制器���,說(shuō)明因云提供商或部署模型而異�����。首先�����,您可以要求部署放棄NET_RAW功能以抵御某些類(lèi)型的網(wǎng)絡(luò)欺騙攻擊���。
08 加強(qiáng)節(jié)點(diǎn)安全
您可以按照以下三個(gè)步驟來(lái)改進(jìn)節(jié)點(diǎn)上的安全狀態(tài):
確保主機(jī)安全且配置正確。其中一種方法是根據(jù)CIS基準(zhǔn)來(lái)檢查您的配置��,許多產(chǎn)品都有自動(dòng)檢查功能�,可以自動(dòng)評(píng)估配置是否與這些標(biāo)準(zhǔn)一致。
控制對(duì)敏感端口的網(wǎng)絡(luò)訪問(wèn)�����。確保您的網(wǎng)絡(luò)阻止訪問(wèn)kubelet使用的端口����,包括10250和10255。此外���,還需限制對(duì)可信網(wǎng)絡(luò)以外的Kubernetes API服務(wù)器的訪問(wèn)�。因?yàn)閻阂庥脩?hù)很有可能會(huì)濫用對(duì)這些端口的訪問(wèn)權(quán)限���,以便在未配置并需要在kubelet API服務(wù)器上進(jìn)行身份驗(yàn)證和授權(quán)的集群中運(yùn)行加密貨幣挖掘程序�。
最小化對(duì)Kubernetes節(jié)點(diǎn)的管理訪問(wèn)���。通常應(yīng)該限制對(duì)集群中節(jié)點(diǎn)的訪問(wèn)����,因?yàn)檎{(diào)試和執(zhí)行其他任務(wù)可以在不直接訪問(wèn)節(jié)點(diǎn)的情況下進(jìn)行��。
09 啟用審核日志(Audit Logging)
請(qǐng)確保您已經(jīng)啟用審核日志���,并監(jiān)視他們是否存在異?;虿恍枰腁PI調(diào)用����,尤其是任何失敗授權(quán)——這些日志條目將顯示狀態(tài)“Forbidden”�。授權(quán)失敗可能意味著攻擊者試圖濫用被盜憑據(jù)����。托管Kubernetes提供程序(包括GKE)可在其云控制臺(tái)中訪問(wèn)此數(shù)據(jù),并允許您設(shè)置授權(quán)失敗警報(bào)����。
遵循上文的9項(xiàng)建議,您可以獲得更安全的Kubernetes集群�。請(qǐng)記住,即便您已經(jīng)完全按照以上步驟安全地配置了您的Kubernetes集群����,您依然需要將安全性構(gòu)建到容器配置的其他方面及其運(yùn)行時(shí)操作中。當(dāng)您提高技術(shù)堆棧的安全性時(shí)�����,需要尋找能夠?yàn)槿萜鞑渴鹛峁┲行闹卫睃c(diǎn)的工具��,并為容器和云原生應(yīng)用程序提供持續(xù)監(jiān)控和保護(hù)�。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/32860.html
