當企業(yè)創(chuàng)建或使用云上應用系統(tǒng)時,大多都需要使用Kubernetes。據(jù)云原生計算基金會(CNCF) 最近的一份報告顯示,Kubernetes在全球已擁有近600萬個企業(yè)用戶,成為云上應用程序主要的部署模式。
隨著Kubernetes平臺上的敏感數(shù)據(jù)越來越多,其被攻擊的風險就越大。要實現(xiàn)Kubernetes平臺的完整安全措施需要一個系統(tǒng)化的建設(shè)過程,但研究人員發(fā)現(xiàn),在Kubernetes應用產(chǎn)生的安全問題中,超過9成都是由于非常基礎(chǔ)的原因所引發(fā),本來是可以被避免的。本文梳理總結(jié)了Kubernetes應用中的七個最常見基礎(chǔ)性安全錯誤。
1、默認配置未修改
研究人員發(fā)現(xiàn),許多組織都在使用默認的集群配置,并且未引起重視,這是個非常嚴重的錯誤。盡管Kubernetes的默認設(shè)置為開發(fā)人員賦予了較大的靈活性和敏捷性,但是卻沒有考慮安全防護層面的需求。默認配置在面對非法攻擊時會變得非常脆弱。為了保護Kubernetes上應用數(shù)據(jù)的安全,企業(yè)必須確保對集群配置的合理性和安全性,以獲得更充分的安全防護能力。
2、管理員權(quán)限混亂
為了應用方便,很多組織的開發(fā)人員可以輕易的使用CLUSTER_ADMIN(集群管理員)之類特權(quán)賬號對集群執(zhí)行日常操作,這種方式顯然是錯誤的。特權(quán)賬號應該僅用于管理其他角色和用戶,當多個開發(fā)者都可以擁有CLUSTER_ADMIN級別的訪問權(quán)限時,也意味著黑客可以更加輕松的獲得訪問權(quán)限,他們可以通過這些高級賬戶非法進入Kubernetes上的系統(tǒng),進而全面訪問整個集群中的數(shù)據(jù)資源。
3、過度的訪問授權(quán)
并非每個開發(fā)人員都需要全面訪問所有資源才能完成其工作,但實際上,許多企業(yè)的管理員卻沒有對開發(fā)人員訪問dev/stage/prod集群的權(quán)限類型予以適度的管理和限制。允許開發(fā)人員不受限制地訪問資源是一種非常糟糕的做法。與設(shè)有多個管理員相似,這個錯誤很容易就會被黑客探測并利用,他們可以使用這種不受限制的訪問權(quán)限在貴組織的系統(tǒng)中橫向移動,并且大量的竊取或破壞資源。
4、未有效的實現(xiàn)應用隔離
隔離是Kubernetes平臺的一種天然屬性,可以通過命名空間來實現(xiàn)對象隔離。但是許多企業(yè)組織想當然地以為集群網(wǎng)絡(luò)與云虛擬專用網(wǎng)(VPC)都會被有效的進行隔離,但事實并不是這樣。企業(yè)在Kubernetes應用中,不能忽視保護集群網(wǎng)絡(luò)中的應用系統(tǒng),并對重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)實現(xiàn)隔離防護。
5、未檢測導入YAML的安全隱患
Kubernetes可以支持YAML和JSON格式創(chuàng)建資源對象,JSON格式用于接口之間消息的傳遞,適用于開發(fā);YAML格式用于配置和管理,適用于云平臺管理。YAML是一種簡潔的非標記性語言,導入公共YAML盡管可以避免重復性工作,節(jié)省時間,但也同樣會將錯誤配置引入到企業(yè)環(huán)境中。因此企業(yè)在引入公共YAML時,需要充分檢測并評估其帶來的安全影響,并確保可以解決配置過程中可能存在的安全性問題。
6、將機密數(shù)據(jù)存儲在ConfigMap中
機密數(shù)據(jù)主要包括密碼、令牌或密鑰之類的敏感數(shù)據(jù)。由于疏忽或者使用的方便,開發(fā)人員經(jīng)常會將一些機密信息存儲在ConfigMap中,從而增加了這些敏感數(shù)據(jù)的暴露風險。ConfigMap是一種API對象,通常只用來保存非機密性數(shù)據(jù),它可以讓用戶將針對特定環(huán)境的配置與容器鏡像分離,以便應用程序易于移植。但是由于缺乏保護,黑客同樣有機會訪問ConfigMap,因此也能夠訪問保存在其中相關(guān)資源。
7、沒有定期開展安全掃描
在軟件開發(fā)生命周期(SDLC)和持續(xù)集成/持續(xù)交付(CI/CD)管道的早期階段執(zhí)行定期掃描,以查找錯誤配置和漏洞,這有助于杜絕這些問題進入到生產(chǎn)環(huán)境的可能性。但現(xiàn)實中,許多組織都沒有這樣的安全計劃或缺少行動。從攻擊成本角度看,黑客通常會尋找最省事的攻擊目標。因此,企業(yè)首先要確保自己不是保護最乏力的組織,這樣就可以減少成為被攻擊目標的可能性。開展日常性的安全漏洞檢查并且有效落實,正是一種快速提升安全能力的有效途徑。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<
