《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業界動態 > Kubernetes應用中必須避免的七個基本錯誤

Kubernetes應用中必須避免的七個基本錯誤

2022-11-10
來源:安全牛
關鍵詞: Kubernetes

  當企業創建或使用云上應用系統時,大多都需要使用Kubernetes。據云原生計算基金會(CNCF) 最近的一份報告顯示,Kubernetes在全球已擁有近600萬個企業用戶,成為云上應用程序主要的部署模式。

  隨著Kubernetes平臺上的敏感數據越來越多,其被攻擊的風險就越大。要實現Kubernetes平臺的完整安全措施需要一個系統化的建設過程,但研究人員發現,在Kubernetes應用產生的安全問題中,超過9成都是由于非常基礎的原因所引發,本來是可以被避免的。本文梳理總結了Kubernetes應用中的七個最常見基礎性安全錯誤。

  1、默認配置未修改

  研究人員發現,許多組織都在使用默認的集群配置,并且未引起重視,這是個非常嚴重的錯誤。盡管Kubernetes的默認設置為開發人員賦予了較大的靈活性和敏捷性,但是卻沒有考慮安全防護層面的需求。默認配置在面對非法攻擊時會變得非常脆弱。為了保護Kubernetes上應用數據的安全,企業必須確保對集群配置的合理性和安全性,以獲得更充分的安全防護能力。

  2、管理員權限混亂

  為了應用方便,很多組織的開發人員可以輕易的使用CLUSTER_ADMIN(集群管理員)之類特權賬號對集群執行日常操作,這種方式顯然是錯誤的。特權賬號應該僅用于管理其他角色和用戶,當多個開發者都可以擁有CLUSTER_ADMIN級別的訪問權限時,也意味著黑客可以更加輕松的獲得訪問權限,他們可以通過這些高級賬戶非法進入Kubernetes上的系統,進而全面訪問整個集群中的數據資源。

  3、過度的訪問授權

  并非每個開發人員都需要全面訪問所有資源才能完成其工作,但實際上,許多企業的管理員卻沒有對開發人員訪問dev/stage/prod集群的權限類型予以適度的管理和限制。允許開發人員不受限制地訪問資源是一種非常糟糕的做法。與設有多個管理員相似,這個錯誤很容易就會被黑客探測并利用,他們可以使用這種不受限制的訪問權限在貴組織的系統中橫向移動,并且大量的竊取或破壞資源。

  4、未有效的實現應用隔離

  隔離是Kubernetes平臺的一種天然屬性,可以通過命名空間來實現對象隔離。但是許多企業組織想當然地以為集群網絡與云虛擬專用網(VPC)都會被有效的進行隔離,但事實并不是這樣。企業在Kubernetes應用中,不能忽視保護集群網絡中的應用系統,并對重要業務系統及數據實現隔離防護。

  5、未檢測導入YAML的安全隱患

  Kubernetes可以支持YAML和JSON格式創建資源對象,JSON格式用于接口之間消息的傳遞,適用于開發;YAML格式用于配置和管理,適用于云平臺管理。YAML是一種簡潔的非標記性語言,導入公共YAML盡管可以避免重復性工作,節省時間,但也同樣會將錯誤配置引入到企業環境中。因此企業在引入公共YAML時,需要充分檢測并評估其帶來的安全影響,并確保可以解決配置過程中可能存在的安全性問題。

  6、將機密數據存儲在ConfigMap中

  機密數據主要包括密碼、令牌或密鑰之類的敏感數據。由于疏忽或者使用的方便,開發人員經常會將一些機密信息存儲在ConfigMap中,從而增加了這些敏感數據的暴露風險。ConfigMap是一種API對象,通常只用來保存非機密性數據,它可以讓用戶將針對特定環境的配置與容器鏡像分離,以便應用程序易于移植。但是由于缺乏保護,黑客同樣有機會訪問ConfigMap,因此也能夠訪問保存在其中相關資源。

  7、沒有定期開展安全掃描

  在軟件開發生命周期(SDLC)和持續集成/持續交付(CI/CD)管道的早期階段執行定期掃描,以查找錯誤配置和漏洞,這有助于杜絕這些問題進入到生產環境的可能性。但現實中,許多組織都沒有這樣的安全計劃或缺少行動。從攻擊成本角度看,黑客通常會尋找最省事的攻擊目標。因此,企業首先要確保自己不是保護最乏力的組織,這樣就可以減少成為被攻擊目標的可能性。開展日常性的安全漏洞檢查并且有效落實,正是一種快速提升安全能力的有效途徑。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 日韩欧美亚洲综合久久| 理论秋霞在线看免费| 国产日韩一区二区三区在线观看| 99在线视频免费| 成人在线视频一区| 久久午夜无码鲁丝片午夜精品| 欧美在线观看免费一区视频| 亚洲综合无码一区二区| 精品国产一区二区三区av片| 国产一区二区三区日韩精品| 91香蕉成人免费网站| 国产精品免费看久久久| 9277手机在线视频观看免费| 天天躁日日躁狠狠躁av麻豆| 一本大道无码日韩精品影视_| 我要看免费毛片| 久久久久久久久久久久福利| 日韩欧群交p片内射中文| 亚洲va成无码人在线观看 | 最近中文字幕mv高清在线视频| 在线观看国产小屁孩cao大人| 中文乱码字幕午夜无线观看| 日本久久中文字幕精品| 久久精品国产亚洲AV无码偷窥| 欧美jizzhd极品欧美欧美xxxx18动漫| 亚洲欧美日韩在线| 澳门a毛片免费观看 | 污视频网站在线观看| 伊人久久大香线蕉综合5g| 精品一区二区三区波多野结衣| 午夜在线亚洲男人午在线| 美女被按在的视频网站观看| 国产www视频| 色欲综合久久中文字幕网| 国产亚洲午夜高清国产拍精品| 高清欧美一区二区三区| 国产成人国产在线观看入口| 成人免费大片免费观看网站| 国产欧美日韩va另类在线播放| 亚洲一区二区三区在线网站| 国产福利一区二区|