写点什么

9 个人人须知的 Kubernetes 最佳安全实践

  • 2019-01-19
  • 本文字数:2328 字

    阅读完需:约 8 分钟

9个人人须知的Kubernetes最佳安全实践

上个月,Kubernetes 被曝首个重大安全漏洞,动摇了 Kubernetes 的生态系统。这个漏洞允许攻击者通过 Kubernetes API 服务器攻击集群,使其运行代码执行安装恶意软件等行为。


今年早些时候,特斯拉遭遇了一场复杂的加密货币挖矿恶意软件感染,起因是 Kubernetes 控制台配置错误。Kubernetes 控制台没有密码保护,攻击这利用这一点访问了其中的一个 pod,这里面有特斯拉在 AWS 环境中的访问凭证。


随着容器和容器编排器的采用率不断增加,组织需要采取必要的措施来保护关键的计算基础设施。可以参考以下 9 个客户反馈的 Kubernetes 最佳安全实践来保护你的基础设施。

1. 升级到最新版本

除了修复 bug,Kubernetes 每个季度的更新都会新增一些安全特性。为了用好这些特性,我们建议你运行最新的稳定版本。最好的方法是使用运行最新的版本(带有最新的补丁),特别是在发现上个月的漏洞爆发之后。你的版本越旧,升级和支持会变得越来越困难,所以你应该计划每个季度至少升级一次。使用托管的 Kubernetes 服务可以使升级变得非常容易。

2. 启用基于角色的访问控制(RBAC)

控制访问 Kubernetes API 的访问者,以及他们对 RBAC 有哪些权限。RBAC 通常在 Kubernetes 1.6 或更高版本中默认启用(之后会针对某些托管服务),但是如果你从 1.6 版本就开始升级,并且没有更改配置,则需要再次检查设置。由于 Kubernetes 授权控制器的组合方式,你必须同时启用 RBAC 和禁用遗留授权(ABAC)。


RBAC 被强制执行后,你仍然需要有效地使用它。为了支持特定命名空间的访问权限,通常应该避免集群级别的访问权限。避免给任何人集群管理的权限,即使是调试权限——仅在需要时根据具体情况授予访问权限要安全得多。


你可以使用“kubectl get clusterrolebinding”或“kubectl get rolebinding -all-namespaces”来研究集群角色。快速检查谁被授予特殊的“集群管理员”角色;在这个例子中,它只是“masters”:



如果你的应用程序需要访问 Kubernetes API,请单独创建服务账户,并在每个使用站点为它们提供所需的最小权限集。这比为命名空间的默认账户授予不受限制的权限要好。大多数应用程序根本不需要访问 API;’ automountServiceAccountToken '可以设置为“false”。

3. 使用命名空间来建立安全边界

创建独立的命名空间是隔离组件很重要。我们发现,当不同类型的工作负载部署在不同的命名空间中时,应用安全控制(如网络策略)要容易得多。


你的团队是否在有效地使用命名空间?可以通过检查非默认命名空间来看看情况:


4. 分离的敏感负载

为了减少被盗用的影响,最好在一组专用计算机上运行敏感的工作负载。这种方法降低了共享容器运行时或主机访问安全性较差的应用程序时的风险。例如,一个被破坏的节点的 kubelet 凭证只有被放到调度节点的 pod 上,才能访问 secret 的内容——如果重要的 secret 被调度到集群中的许多节点上,那么对手将有更多的机会窃取它们。


可以使用节点池(云中或本地)和 Kubernetes 的命名空间、taint、容忍和其他控件来实现这种分离。


5. 安全的云端元数据访问

敏感的元数据,例如 kubelet 管理凭证,有时会被窃取或误用来升级集群中的特权。例如,最近 Shopify 披露的漏洞报告奖励里详细说明了用户如何通过混淆微服务使用特权进而从云提供商的元数据服务里泄露信息。GKE 的元数据隐藏特性改变了集群部署机制,我们建议使用它来避免这种暴露,直到永久解决方案出现替代它。在其他环境中可能需要类似的对策。

6. 创建和定义集群网络策略

网络策略允许用户控制对容器化应用程序的网络访问。要使用它们,需要确保有一个支持该资源的网络提供商;对于一些 Kubernetes 托管商,如谷歌 Kubernetes 引擎(GKE),你需要进行选择。(如果集群已经存在,那么在 GKE 中启用网络策略需要进行简单的滚动升级。)设置好之后,从一些基本的默认网络策略开始,比如默认情况下阻塞来自其他名称空间的流量。


如果在谷歌容器引擎中运行,可以检查集群是否在启用策略支持的情况下运行:


7. 运行集群范围的 Pod 安全策略

Pod 安全策略可以设置集群中工作负载的默认运行方式。考虑定义一个策略并启用 Pod 安全策略允许控制器——根据云提供商或部署模型的不同,指令也不同。可以要求放弃 NET_RAW 功能的部署,以防止某些类型的网络欺骗攻击。

8. 强化节点安全

可以按照以下三个步骤改进节点上的安全状态:


  • 确保主机安全并正确配置。一种方法是根据 CIS 基准检查配置;许多产品都有自动检查器,可以自动评估是否符合这些标准。

  • 控制对敏感端口的网络访问。确保你的网络阻止了对使用 kubelet 端口的访问,包括 10250 和 10255。除非来自受信任的网络,否则要考虑限制对 Kubernetes API 服务器的访问。恶意用户滥用对这些端口的访问,在集群中运行加密币挖矿机,这些集群没有设置成在 kubelet API 服务器上需要有身份验证和授权。

  • 最小化对 Kubernetes 节点的管理访问。通常应该限制对集群中节点的访问——调试和其他任务通常可以在不直接访问节点的情况下处理。

9. 打开审计日志

确保启用了审计日志,并且正在监视异常或不需要的 API 调用,特别是任何授权失败——这些日志条目将有一个状态消息“Forbidden”。授权失败可能意味着攻击者试图滥用窃取的凭证。Kubernetes 托管商(包括 GKE)在其云控制台中提供对这些数据的访问,并允许设置授权失败的警报。

展望未来

按照这些建议创建一个更安全的 Kubernetes 集群。请记住,即使按照这些提示安全地配置了 Kubernetes 集群,仍然需要将安全性构建到容器配置及其运行时操作的其他方面。在改进技术堆栈的安全性时,要找到为容器部署提供治理中心点并为容器和云本地应用程序提供持续监视和保护的工具。


原文链接:


https://www.cncf.io/blog/2019/01/14/9-kubernetes-security-best-practices-everyone-must-follow/


2019-01-19 10:337024
用户头像

发布了 124 篇内容, 共 45.8 次阅读, 收获喜欢 176 次。

关注

评论

发布
暂无评论
发现更多内容

如何选择合适的TikTok网络节点

Ogcloud

代理IP tiktok运营 TikTok养号 tiktok节点 tiktok网络

使用海外原生IP有什么好处

Ogcloud

静态IP 海外原生IP 原生IP

软件测试学习笔记丨Vue常用指令-输入绑定(v-model)

测试人

软件测试

化学ppt课件怎么做?这个在线ppt工具不容错过!

职场工具箱

效率工具 职场 PPT AIGC AI生成PPT

Overlord(AE制作MG动画神器脚本) 中文版-mac&win

Rose

中文汉化 AE/PR去朦胧除雾霾调色插件 ClearPlus

Rose

FilmUnlimited PowerGrades(柯达胶片模拟电影预设)

Rose

英伟达力推生命科学,背后分子动力学价值远被低估

新消费日报

Autodesk Maya 2025 for Mac(三维动画和视觉特效软件)

Mac相关知识分享

小说

什么是数字化战略?数字化转型战略指南

积木链小链

数字化转型 数字化

AutoSway(AE风吹自由摇曳摆动MG动画脚本) 中文汉化版

Rose

1400+自定义ps形状集合

Rose

这AI队友哪智障了?这AI队友可太棒了!| 《易点新的》专访

网易伏羲

游戏AI

e3d插件下载 - Video Copilot Element 3D for mac-AE三维模型插件

Rose

直接导入编辑MKV/MOV/FLV格式素材视频解码器AE/PR插件Influx

Rose

面对经济挑战,电商如何借助小程序提高人效并引流多端?

Geek_2305a8

Plugin Alliance Brainworx bx_limiter True Peak(峰值限制器)

Rose

Midjourney-未来机甲

AIGC.TWang

未来世界 AI绘画 MidJourney

软件测试学习笔记丨Vue学习笔记-基本介绍

测试人

软件测试

Middle for Mac触控板和鼠标增强工具

Mac相关知识分享

Blocs for mac优秀的代码编辑器

Mac相关知识分享

漆包线自动称重系统

万界星空科技

mes 智能称重系统 电子称重系统 万界星空科技 漆包线工厂

Digital Film Tools Rays for Mac中文破解版 ps光束滤镜

Rose

淘宝详情API接口全解析:如何获取与应用

代码忍者

API 接口 pinduoduo API

【认证有奖】邀友“亿”起体验流量之旅

荣耀开发者服务平台

开发者激励 AIGC 奖励分红 开发者活动 应用市场

说说Java的类加载机制?究竟什么是双亲委派模型?

EquatorCoco

专业的 Mac 幻灯片制作软件FotoMagico for Mac

Mac相关知识分享

幻灯片

加锁失效,非锁之过,加之错也|京东零售供应链库存研发实践

京东零售技术

后端 加锁

一文彻底弄懂Spring IOC 依赖注入

不在线第一只蜗牛

spring

ps智能磨皮滤镜插件mac版Imagenomic Portraiture 4下载安装教程

Rose

Mac 平台矢量图形编辑软件Boxy SVG for Mac

Mac相关知识分享

9个人人须知的Kubernetes最佳安全实践_安全_Connor Gilbert_InfoQ精选文章