青藤云安全“蜂巢之声”:如何避免重演特斯拉Kubernetes容器集群被黑事件
|
考虑到容器和Kubernetes联网模型的动态性,传统的用于网络可见性、取证分析的工具可能就不再适用了。简单的任务(例如进行数据包捕获,用于调试应用或调查安全事件)也不再那么简单。需要新的Kubernetes和容器感知工具来执行网络安全、检查和取证任务。 确保Kubernetes系统与资源的安全 如果不对Kubernetes进行安全保护,Kubernetes以及基于Kubernetes的管理平台可能很容易受到攻击。这些漏洞暴露了容器部署的新攻击面,很可能被黑客利用。为了保护Kubernetes和管理平台自身不受攻击,需要做的一个基本步骤就是正确配置RBAC,确保用户获得适当的系统资源。同时,还需要审查和配置以下方面的访问控制权限。 保护API服务器。为API服务器配置RBAC或手动创建防火墙规则,防止未经授权的访问。 限制Kubelet权限。为Kubelet配置RBAC,并管理证书轮换以保护Kubelet。 要求对所有外部端口进行身份验证。查看所有可从外部访问的端口,并删除不必要的端口。需要对所需的外部端口进行身份验证。对于未经身份验证的服务,则仅限白名单访问。 限制或删除控制台访问。除非通过正确配置,可以让用户通过强密码或双因素身份认证进行登录,否则不允许访问控制台/代理。 如前所述,结合功能强大的主机安全,锁定工作节点,可以保护Kubernetes部署基本架构免受攻击。但是,还建议使用监控工具来跟踪对基础结构服务的访问,检测未经授权的连接和潜在攻击。 我们仍然以特斯拉Kubernetes控制台漏洞利用为例。在黑客攻陷了工作节点后,就会建立一个外部连接,控制加密货币挖矿软件。对容器、主机、网络和系统资源进行基于策略的实时监控,可以检测到可疑进程以及未经授权的外部连接。 三、写在最后 近年来,越来越多的企业开始加速业务上云的步伐,采用容器化方法将应用迁移到云端。由于 Kubernetes 能够在一组机器上运行和协调容器化服务,因此,在企业的容器化过程中发挥了重要作用。虽然Kubernetes自身提供了RBAC(基于角色的访问控制)策略和基础架构安全功能,但其本身并不是安全工具。在通过Kubernetes进行关键业务部署时,需要考虑的一项优先功能就是安全。本文从网络、容器和主机三个方面介绍了Kubernetes的一些重要安全措施,以免发生特斯拉类似的安全事件。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
