Kubernetes是当今最流行的容器编排软件之一。最初由Google工程师开发,后来在Cloud Native Computing Foundation下开源。
Kubernetes主要用于基于云的基础架构,允许系统管理员使用软件容器轻松部署新的IT资源。
在过去几年中,大量黑客利用Kubernetes平台部署他们的挖矿软件来以此获利。
黑客通过扫描互联网,来发现存在漏洞的Kubernetes平台或在大型Kubernetes集群(例如Argo Workflow或Kubeflow)上运行的应用程序,从而获得对Kubernetes后端的访问权限,然后部署挖矿程序。
这些攻击在2017年初开始以惊人的速度发生,甚至出现多个团伙在同一个有漏洞的Kubernetes平台上争夺资源。
8月3日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)今天发布了一份59页的技术报告《Kubernetes加固指南》。
通过这份加固指南,希望为系统管理员提供一个安全基线,用于未来的Kubernetes配置,以避免这些类型的入侵。
这份指南除了介绍基本配置之外,还给出了防止Kubernetes出现严重漏洞的基本缓解措施,如:
1.扫描容器和Pod是否存在漏洞或错误配置。
2.以尽可能少的权限运行容器和Pod。
3.使用网络分离来控制妥协可能造成的损害程度。
4.使用防火墙限制不需要的网络连接和加密以保护机密性。
5.使用强身份验证和授权来限制用户和管理员访问以及限制攻击面。
6.使用日志审核,以便管理员可以监控活动并就潜在的恶意活动收到警报。
7.定期检查所有Kubernetes设置并使用漏洞扫描来帮助确保适当考虑风险并应用安全补丁。