本月初,美国国家安全局 (NSA) 和美国网络信息安全与基础设施建设安全局 (CISA)发布了《Kubernetes加强指南》。该指南详解了加强Kubernetes系统的提议,并给予了配备指南以最大限度地减少风险性。关键操作方法包含扫描仪容器和Pod是不是出现系统漏洞或不正确配备,以尽量低的管理权限运作容器和 Pod,及其怎么使用互联网分离出来、服务器防火墙、强身份认证和日志财务审计。
为了更好地确保指南的高效落地式,CISA日前发布了与指南配套设施的检测工具——Kubescape,该专用工具根据OPA模块和ARMO的航姿,可用来检测Kubernetes是不是遵循NSA和CISA加强指南中界定的安全性布署。客户可应用Kubescape检测群集或扫描仪单独YAML文档并将其集成化到过程中。
Kubescape检测內容如下所示:
- 非根容器
- 不能变容器系统文件
- 权利容器
- hostPID、hostIPC 管理权限
- 服务器网站访问
- allowedHostPaths字段名
- 维护pod服务项目账号动态口令
- 資源现行政策
- 操纵平面图加强
- 露出汽车仪表板
- 容许管理权限提高
- 环境变量中的应用软件凭证
- 群集管理人员关联
- 实行到容器
- 风险工作能力
- 不安全的能力
- Linux加固
- 通道和出入口被阻拦
- 容器服务器端口号
- 互联网现行政策
据统计,Kubernetes是一个运用较普遍的开源网站,可全自动布署、拓展和监管在容器中运作的应用软件,通常代管在云自然环境中,并出示比传统式软件系统更高一些的操作灵活性。
对于Kubernetes的进攻通常为数据信息盗取、计算力窃取或拒绝服务攻击。一般来说,数据信息偷盗是关键动因。殊不知,网络攻击也有可能会试着应用Kubernetes来充分利用网络的最底层基础设施建设来盗取计算力,以完成数字货币挖币等目地。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章