本月早些时候,美国国家安全局(NSA)和美国网络安全与基础设施安全局(CISA)发布了《Kubernetes强化指南》。该指南详细介绍了强化Kubernetes系统的建议,并提供了配置指南以最大限度地降低风险。关键操作包括扫描容器和pod中的漏洞或配置错误,以尽可能低的权限运行容器和pod,以及如何使用网络分离、防火墙、强身份验证和日志审计。为确保指南的有效实施,CISA近期发布了指南测试工具——Kubescape,它基于OPA引擎和ARMO姿态控制,可用于测试Kubernetes是否符合指南定义的安全部署。NSA和CISA强化指南。用户可以使用Kubescape来测试集群或扫描单个YAML文件并将它们集成到他们的流程中。Kubescape测试如下:非根容器不可变容器文件系统特权容器hostPID、hostIPC权限主机网络访问allowedHostPaths字段protectspod服务账户token资源策略控制平面加固暴露dashboard允许提权配置文件集群管理应用凭证绑定执行到容器危险能力不安全能力Linux加固入口和出口阻塞的容器主机端口网络策略据了解,Kubernetes是一种广泛使用的开源系统,可以自动部署、扩展和管理运行在容器中的应用程序,通常托管在云环境中,并提供比传统软件平台更大的灵活性。针对Kubernetes的攻击通常是数据窃取、计算能力窃取或拒绝服务。通常,数据盗窃是主要动机。然而,攻击者也可能会尝试使用Kubernetes来利用网络的底层基础设施来窃取计算能力,以用于加密货币挖掘等目的。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
