本月初,美国国家安全局 (NSA) 和美国网络安全与基础设施安全局 (CISA)发布了《Kubernetes强化指南》。该指南详细介绍了加强Kubernetes系统的建议,并提供了配置指南以最大限度地降低风险。主要操作包括扫描容器和Pod是否存在漏洞或错误配置,以尽可能低的权限运行容器和 Pod,以及如何使用网络分离、防火墙、强身份验证和日志审计。
为了保障指南的有效落地,CISA日前发布了与指南配套的测试工具——Kubescape,该工具基于OPA引擎和ARMO的姿态控制,可用于测试Kubernetes是否遵循NSA和CISA强化指南中定义的安全部署。用户可使用Kubescape测试集群或扫描单个YAML文件并将其集成到流程中。
Kubescape测试内容如下:
- 非根容器
- 不可变容器文件系统
- 特权容器
- hostPID、hostIPC 权限
- 主机网络访问
- allowedHostPaths字段
- 保护pod服务帐户令牌
- 资源政策
- 控制平面强化
- 外露仪表板
- 允许权限提升
- 配置文件中的应用程序凭据
- 集群管理员绑定
- 执行到容器
- 危险能力
- 不安全的能力
- Linux加固
- 入口和出口被阻止
- 容器主机端口
- 网络政策
据了解,Kubernetes是一个应用较广泛的开源系统,可自动部署、扩展和管理在容器中运行的应用程序,通常托管在云环境中,并提供比传统软件平台更高的灵活性。
针对Kubernetes的攻击通常为数据窃取、计算力窃取或拒绝服务。一般来说,数据盗窃是主要动机。然而,攻击者也可能会尝试使用Kubernetes来利用网络的底层基础设施来窃取计算力,以实现加密货币挖矿等目的。