信息化觀察網(wǎng)

Kubernetes是當(dāng)今最流行的容器編排軟件之一。最初由Google工程師開發(fā)，后來在Cloud Native Computing Foundation下開源。

Kubernetes主要用于基于云的基礎(chǔ)架構(gòu)，允許系統(tǒng)管理員使用軟件容器輕松部署新的IT資源。

在過去幾年中，大量黑客利用Kubernetes平臺部署他們的挖礦軟件來以此獲利。

黑客通過掃描互聯(lián)網(wǎng)，來發(fā)現(xiàn)存在漏洞的Kubernetes平臺或在大型Kubernetes集群（例如Argo Workflow或Kubeflow）上運行的應(yīng)用程序，從而獲得對Kubernetes后端的訪問權(quán)限，然后部署挖礦程序。

這些攻擊在2017年初開始以驚人的速度發(fā)生，甚至出現(xiàn)多個團(tuán)伙在同一個有漏洞的Kubernetes平臺上爭奪資源。

8月3日，美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)今天發(fā)布了一份59頁的技術(shù)報告《Kubernetes加固指南》。

通過這份加固指南，希望為系統(tǒng)管理員提供一個安全基線，用于未來的Kubernetes配置，以避免這些類型的入侵。

這份指南除了介紹基本配置之外，還給出了防止Kubernetes出現(xiàn)嚴(yán)重漏洞的基本緩解措施，如：

1.掃描容器和Pod是否存在漏洞或錯誤配置。

2.以盡可能少的權(quán)限運行容器和Pod。

3.使用網(wǎng)絡(luò)分離來控制妥協(xié)可能造成的損害程度。

4.使用防火墻限制不需要的網(wǎng)絡(luò)連接和加密以保護(hù)機(jī)密性。

5.使用強(qiáng)身份驗證和授權(quán)來限制用戶和管理員訪問以及限制攻擊面。

6.使用日志審核，以便管理員可以監(jiān)控活動并就潛在的惡意活動收到警報。

7.定期檢查所有Kubernetes設(shè)置并使用漏洞掃描來幫助確保適當(dāng)考慮風(fēng)險并應(yīng)用安全補(bǔ)丁。