暂无个人介绍
众所周知,Kubernetes作为编排引擎为应用开发者提供了Secrets模型用于在应用Pod中加载和使用敏感信息(如数据库密码、应用证书、认证token等)。Secrets的使用对于K8s开发者来说应该已经比较熟悉了,下面是一些Secrets相关的基本概念:Secrets是一个namespace维度的模型,结合K8s RBAC访问控制可以实现集群内namespace维度的读写隔离Secrets可
随着云原生的蓬勃发展,越来越多的企业选择将容器技术应用到自己的生产环境(据去年CNCF的报告,这个数字是93%)。在快速发展的同时一些安全问题也随之放大,比如云原生环境下的供应链安全问题,开发者通常只需要一个简单的API密钥就可以随意发布镜像,大部分公开的制品仓库都暴露在供应链攻击的阴影下。去年的SolarWinds供应链攻击波及了包括美国政府部门及多家全球500强企业,造成了无法估计的严重影响;
随着云原生的蓬勃发展,越来越多的企业选择将容器技术应用到自己的生产环境(据去年CNCF的报告,这个数字是93%)。在快速发展的同时一些安全问题也随之放大,比如云原生环境下的供应链安全问题,开发者通常只需要一个简单的API密钥就可以随意发布镜像,大部分公开的制品仓库都暴露在供应链攻击的阴影下。去年的SolarWinds供应链攻击波及了包括美国政府部门及多家全球500强企业,造成了无法估计的严重影响;
近期针对Linux内核的CVE漏洞频出,CVE-2022-0185、CVE-2022-0185、CVE-2022-0847是威胁评分较高且热度较高的几个典型漏洞,相关的POC/EXP利用代码也已经在互联网上公开披露。对于容器场景来说,攻击者的攻击路径也比较相似,都是利用unshare等高危系统调用在新的usernamespace拿到CAP_SYS_ADMIN等高权限capabilities后利用漏
近期在阿里云容器团队与Palo Alto Networks安全团队的联合调研中发现有大量的自建Kubernetes集群存在不同程度的安全隐患,本文主要介绍了Kubernetes集群使用过程中可能遇到的安全风险,同时如何利用阿里云容器服务,容器镜像服务的安全能力和Palo Alto Networks的容器安全解决方案提升Kubernetes集群的整体安全性。
## Why SDS 传统方式下Envoy证书是通过secret卷挂载的方式以文件挂载到sidecar容器中,当证书发生轮转时需要重启服务让Envoy重新加载证书;同时证书私钥在secret中存储并在服务节点外跨节点传输的方式也存在明显的安全漏洞。为此Istio1.1版本后增加了SDS(Secret Discovery Service)API,在Citadel服务的基础上,增加了nodeag
如何解决多租户集群的安全隔离问题是企业上云的一个关键问题,本文主要介绍kubernetes多租户集群的基本概念和常见应用形态,以及在企业内部共享集群的业务场景下,基于kubernetes原生和ACK集群现有安全管理能力快速实现多租户集群的相关方案。
## 1 Vault是什么? 如何在云上应用中管理和保护用户的敏感信息是一个经常令开发者头疼的问题,用户的密码口令,证书秘钥等私密信息时常未经加密被随意的放置在配置文件,代码仓库或是共享存储里,而对于普通的开发者来说,设计和实现一套完整的秘钥管理系统是一个很大的挑战。且不论令人生畏的加解密算法,很多的云应用仍然将一些敏感配置信息仅仅经过base64等一些简单的hash运算就放置在某个公共的配
基于RBAC的role base鉴权是对kubernetes集群内模型资源进行访问控制的标准做法,同时各主流云厂商通常都有一套自身的访问控制引擎,就像EKS,GKE的IAM,AKS的ARM,阿里云的RAM服务;而对于普通用户来说,如何理解二者的区别和边界并做出正确的授权配置就成了一个令人头疼的问题。 下面让我们来了解一下各主流云厂商k8s服务的认证
基于RBAC的role base鉴权是对kubernetes集群内模型资源进行访问控制的标准做法,同时各主流云厂商通常都有一套自身的访问控制引擎,就像EKS,GKE的IAM,AKS的ARM,阿里云的RAM服务;而对于普通用户来说,如何理解二者的区别和边界并做出正确的授权配置就成了一个令人头疼的问题。
近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker发行版本,攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件,当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。
Brief introduction on some security enhancement for ACK, including BYOK, AD/LDAP support, and collaboration with Vault and NeuVector
在刚刚过去的Kubecon2018上,诸多大厂的安全专家为我们带来了很多kubernetes安全相关的精彩分享,议题包含集群权限控制,安全配置,漏洞分析等多个方向,其中secret management作为一个热点topic,有多位演讲者对其相关工作做了详尽分析。 ## 什么是Sec