NSA与CISA联合发布Kubernetes安全加固建议。Kubernetes是一种非常流行的开源解决方案,用于在云中部署、扩展和管理容器应用程序,也是网络攻击的目标。黑客攻击Kubernetes系统的目标包括数据窃取、加密货币挖掘、DoS攻击等。为帮助企业更好地加强Kubernetes系统的安全性,2021年8月3日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)联合发布加强Kubernetes系统安全的建议.更安全地管理Kubernetes提供了安全指南。该指南称,Kubernetes环境遭到黑客攻击的主要原因是供应链攻击、恶意行为者和内部威胁。虽然管理员无法应对这三种威胁,但他们可以通过避免错误配置和降低安全风险来加强Kubernetes系统。针对Kubernetes系统安全风险的保护措施包括扫描容器和pod中的错误和错误配置、使用最小权限运行pod和容器、网络隔离、强身份验证、防火墙、审计日志等。管理员还应定期检查所有Kubernetes配置以确保系统具有可用的最新补丁和更新。KubernetesPod安全加固建议:以非root用户身份运行基于容器的应用程序;尽可能运行具有不可变文件系统的容器;扫描容器镜像是否存在可能的漏洞和错误配置;使用Pod安全策略强制执行最低级别的安全,包括:●轻松防止高权限;●拒绝经常被黑客利用的容器特性,如hostPID、hostIPC、hostNetwork、allowedHostPath。●拒绝以root用户身份轻松执行或允许权限升级到root;●使用SELinux、AppArmor、seccomp等安全服务加强应用程序,防止被利用。网络隔离和加固:使用防火墙和基于角色的访问控制来锁定对控制平面的访问;进一步限制对Kubernetesetcd服务器的访问;配置控制平面组件以使用经过身份验证的加密通信,例如TLS;设置网络策略以隔离资源。除非实施其他隔离策略,否则不同命名空间中的Pod和服务仍会相互通信;将所有凭据和敏感信息保存在KubernetesSecrets中,而不是配置文件中。使用强加密方法来加密秘密。身份验证和授权:禁用匿名登录(默认开启);使用强用户认证;使用基于角色的访问控制策略来限制管理员、用户和服务帐户的活动。日志审计:启用审计日志功能(模式禁用);通过日志确保节点、pod和容器级别的可用性;更新和应用安全实践:立即应用安全补丁和更新;执行定期漏洞扫描和渗透测试;no立即从环境中移除组件。完整的Kubernetes安全加固指南可见:https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF本文翻译自:https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/如有转载请注明出处。
