NSA与CISA联合发布Kubernetes 加固指南

百家号
安全鹰
Kubernetes是当今最流行的容器编排软件之一。最初由Google工程师开发,后来在Cloud Native Computing Foundation下开源。Kubernetes主要用于基于云的基础架构,允许系统管理员使用软件容器轻松部署新的IT资源。

1.jpeg

Kubernetes是当今最流行的容器编排软件之一。最初由Google工程师开发,后来在Cloud Native Computing Foundation下开源。

Kubernetes主要用于基于云的基础架构,允许系统管理员使用软件容器轻松部署新的IT资源。

在过去几年中,大量黑客利用Kubernetes平台部署他们的挖矿软件来以此获利。

黑客通过扫描互联网,来发现存在漏洞的Kubernetes平台或在大型Kubernetes集群(例如Argo Workflow或Kubeflow)上运行的应用程序,从而获得对Kubernetes后端的访问权限,然后部署挖矿程序。

这些攻击在2017年初开始以惊人的速度发生,甚至出现多个团伙在同一个有漏洞的Kubernetes平台上争夺资源。

8月3日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)今天发布了一份59页的技术报告《Kubernetes加固指南》。

通过这份加固指南,希望为系统管理员提供一个安全基线,用于未来的Kubernetes配置,以避免这些类型的入侵。

这份指南除了介绍基本配置之外,还给出了防止Kubernetes出现严重漏洞的基本缓解措施,如:

1.扫描容器和Pod是否存在漏洞或错误配置。

2.以尽可能少的权限运行容器和Pod。

3.使用网络分离来控制妥协可能造成的损害程度。

4.使用防火墙限制不需要的网络连接和加密以保护机密性。

5.使用强身份验证和授权来限制用户和管理员访问以及限制攻击面。

6.使用日志审核,以便管理员可以监控活动并就潜在的恶意活动收到警报。

7.定期检查所有Kubernetes设置并使用漏洞扫描来帮助确保适当考虑风险并应用安全补丁。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论