Kubernetes是当今最流行的容器编排软件之一。最初由 Google 工程师开发,后来在 Cloud Native Computing Foundation 下开源。

Kubernetes 主要用于基于云的基础架构,允许系统管理员使用软件容器轻松部署新的 IT 资源。

在过去几年中,大量黑客利用Kubernetes平台部署他们的挖矿软件来以此获利。

黑客通过扫描互联网,来发现存在漏洞的Kubernetes平台或在大型 Kubernetes 集群(例如Argo Workflow 或 Kubeflow)上运行的应用程序 ,从而获得对 Kubernetes 后端的访问权限,然后部署挖矿程序。

这些攻击在 2017 年初开始以惊人的速度发生,甚至出现多个团伙在同一个有漏洞的Kubernetes平台上争夺资源。

8月3日,美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 今天发布了一份 59 页的技术报告《Kubernetes加固指南》。

通过这份加固指南,希望为系统管理员提供一个安全基线,用于未来的 Kubernetes 配置,以避免这些类型的入侵。

这份指南除了介绍基本配置之外,还给出了防止Kubernetes出现严重漏洞的基本缓解措施,如:

1. 扫描容器和 Pod 是否存在漏洞或错误配置。

2. 以尽可能少的权限运行容器和 Pod。

3. 使用网络分离来控制妥协可能造成的损害程度。

4. 使用防火墙限制不需要的网络连接和加密以保护机密性。

5. 使用强身份验证和授权来限制用户和管理员访问以及限制攻击面。

6. 使用日志审核,以便管理员可以监控活动并就潜在的恶意活动收到警报。

7. 定期检查所有 Kubernetes 设置并使用漏洞扫描来帮助确保适当考虑风险并应用安全补丁。

关注我,带你知晓网络安全发展动态