AI 助理
备案控制台
开发者社区 阿里云安全 文章 正文

鉴权配置不当,蠕虫在自建K8s集群自由出入

2020-09-16 1756
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
推荐场景:
阿里云WAAP安全再获技术&市场双认可
云安全态势管理CSPM免费试用,1000次1年
云安全中心 防病毒版,最高20核 3个月
简介: 9月8日,云安全中心接到一位客户的紧急求助,称其部署在公有云的K8s集群遭到入侵,在数分钟之内K8s节点全部沦陷,并被植入挖矿程序。阿里云云安全中心对该恶意进程进行了紧急处置和隔离,并结合K8s审计日志以及云安全中心主机侧日志还原入侵链路,深入分析了此次事件的原因。

timg.jpeg
突发——K8s节点沦为矿工
9月8日,云安全中心接到一位客户的紧急求助,称其部署在公有云的K8s集群遭到入侵,在数分钟之内K8s节点全部沦陷,并被植入挖矿程序。阿里云云安全中心对该恶意进程进行了紧急处置和隔离,并结合K8s审计日志以及云安全中心主机侧日志还原入侵链路,深入分析了此次事件的原因。

云安全中心紧急防御截屏
图片2.png

排查——鉴权配置不当

阿里云安全专家从主机日志出发,找到了攻击者植入的恶意镜像、脚本,根据行为判定——这是一次非定向的蠕虫自动化入侵事件。随后通过对K8s审计日志的梳理找到了攻击者IP,并根据这些IP滤出全部日志还原了入侵链路。

**本次入侵事件由K8s API Server鉴权不当导致,攻击者通过匿名用户登录到cluster-admin组并对整个K8s集群下发挖矿程序。**

云服务商堵漏 vs 自建集群失守
K8s API Server的鉴权问题由来已久。默认情况下K8s API Server会开启两个端口:8080(Localhost Port)和 6443(Secure Port),其中8080端口为WEB UI Dashboard,无需认证,用于本地测试与监控;6443端口需要认证且有TLS保护,用于远程连接(如:通过kubectl管理集群)。
官方文档对两种API的描述如下:
图片3.png

随着K8s在云上的普及,针对8080端口的公网未授权访问利用数年间从未停止,云服务商提供的容器默认已不存在该问题,但用户基于服务器自建K8s集群如仍存在少量开放到公网并被蠕虫入侵的案例。

6443端口的利用要通过API Server的鉴权,直接访问会提示匿名用户鉴权失败:
图片 1.png

这为自动化攻击提供了便利,黑客通过批量扫描开放在公网的6443端口,向存在鉴权问题的集群下发挖矿程序。在2019年我们监控到首次大规模针对6443端口的利用,如今针对6443鉴权问题的K8s蠕虫卷土重来,并带来了更为复杂、隐蔽的利用方式。

安全建议1- 自查
K8s API Server 6443鉴权问题需要关注,可以通过以下命令自查"system:anonymous"拥有的权限:
kubectl get clusterrolebindings -o yaml | grep system:anonymous

安全建议2- 规范化使用RBAC
正确使用RBAC策略绑定,不要改变或新增集群原生用户或组(system:开头)的权限绑定,也不要改变系统原生的集群角色(clusterrole)或角色(role)。

阿里云容器服务在控制台提供了可视化的授权管理页面,根据不同的应用场景提供了对应的预置集群角色模板,方便用户对指定子账号或RAM角色进行集群或namespace维度的权限绑定,同时支持用户自定义集群权限的控制台绑定,减少用户对RBAC的学习成本。详情参见:https://help.aliyun.com/document_detail/119596.html?spm=a2c4g.11186623.6.627.385a2b303VW0sP

安全建议3- 谨慎开启集群公网
尽量使用内网方式创建集群,减少apiserver暴露在公网上受到攻击的可能性。

安全建议4- K8s日志审计
K8s日志的安全审计除了攻击特征/威胁情报的黑名单匹配之外,还需对访问者建立行为链路的审计以覆盖匿名访问或凭证泄露后鉴权成功的攻击事件。

安全建议5-使用阿里云容器服务默认配置并开启威胁检测功能
阿里云容器服务默认不受此攻击影响,建议采用默认鉴权配置,并通过以下配置开启云安全中心K8s威胁检测功能,第一时间发现通过K8s API Server发起的入侵事件。图片5.png

安全建议6- 使用PSP安全策略
PodSecurityPolicy(简称PSP)是Kubernetes中Pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。当一个攻击者已经获取到集群的访问凭证时,有效的PSP策略配置和绑定可以通过阻止攻击者部署特权容器或挂载敏感目录等校验手段,有效阻止攻击者进行下一步入侵,详情参见:https://help.aliyun.com/document_detail/173620.html?spm=a2c4g.11186623.6.845.596116d7A2vLE6

安全建议7- 安全管理kubeconfig凭证
对于ACK容器服务标准版集群来说,kubeconfig是用户访问集群apiserver的唯一凭证,要严格控制拥有管理员权限的kubeconfig凭证的发放范围,对于可能泄露的凭证要及时吊销,吊销方法请参见: https://help.aliyun.com/document_detail/173620.html?spm=a2c4g.11186623.6.845.596116d7A2vLE6

安全建议7- 安全管理kubeconfig凭证
对于ACK容器服务标准版集群来说,kubeconfig是用户访问集群apiserver的唯一凭证,要严格控制拥有管理员权限的kubeconfig凭证的发放范围,对于可能泄露的凭证要及时吊销,吊销方法请参见: https://help.aliyun.com/document_detail/142602.html?spm=a2c4g.11186623.6.839.16d37f4bxIbUku

文章标签:
容器服务Kubernetes版
容器计算服务
云安全中心
日志服务
C++
Perl
容器
数据可视化
监控
云安全
Kubernetes
安全
API
关键词:
容器服务Kubernetes版集群
容器服务Kubernetes版配置
容器服务Kubernetes版鉴权
配置容器服务Kubernetes版
配置容器服务Kubernetes版集群
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
云安全专家
目录
相关文章
阿里云基础设施.
|
12天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
阿里云基础设施.
83 15
蓝易云
|
10天前
|
Kubernetes Ubuntu 网络安全
ubuntu使用kubeadm搭建k8s集群
通过以上步骤,您可以在 Ubuntu 系统上使用 kubeadm 成功搭建一个 Kubernetes 集群。本文详细介绍了从环境准备、安装 Kubernetes 组件、初始化集群到管理和使用集群的完整过程,希望对您有所帮助。在实际应用中,您可以根据具体需求调整配置,进一步优化集群性能和安全性。
蓝易云
50 12
栈江湖
|
15天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
栈江湖
30 2
弹性计算-百晓生
|
27天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
弹性计算-百晓生
58 5
Java时光
|
2月前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
Java时光
82 1
阿里云基础设施.
|
3月前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
阿里云基础设施.
63 9
阿里云基础设施.
|
3月前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。
阿里云基础设施.
63 1
有路有乔-六月
|
2月前
|
Kubernetes 监控 Java
如何在Kubernetes中配置镜像和容器的定期垃圾回收
如何在Kubernetes中配置镜像和容器的定期垃圾回收
有路有乔-六月
62 0
明弟有理想
|
3月前
|
Kubernetes Ubuntu Linux
Centos7 搭建 kubernetes集群
本文介绍了如何搭建一个三节点的Kubernetes集群,包括一个主节点和两个工作节点。各节点运行CentOS 7系统,最低配置为2核CPU、2GB内存和15GB硬盘。详细步骤包括环境配置、安装Docker、关闭防火墙和SELinux、禁用交换分区、安装kubeadm、kubelet、kubectl,以及初始化Kubernetes集群和安装网络插件Calico或Flannel。
明弟有理想
237 4
sunrise05
|
3月前
|
Kubernetes 应用服务中间件 nginx
搭建Kubernetes v1.31.1服务器集群,采用Calico网络技术
在阿里云服务器上部署k8s集群,一、3台k8s服务器,1个Master节点,2个工作节点,采用Calico网络技术。二、部署nginx服务到k8s集群,并验证nginx服务运行状态。
sunrise05
1087 1

阿里云安全

热门文章

最新文章

  • 1
    《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
  • 2
    二进制安装Kubernetes(k8s)v1.32.0
  • 3
    《docker高级篇(大厂进阶):5.Docker-compose容器编排》包括是什么能干嘛去哪下、Compose核心概念、Compose使用三个步骤、Compose常用命令、Compose编排微服务
  • 4
    K8S 拉取私有仓库镜像
  • 5
    《docker高级篇(大厂进阶):5.Docker-compose容器编排》包括是什么能干嘛去哪下、Compose核心概念、Compose使用三个步骤、Compose常用命令、Compose编排微服务
  • 6
    阿里云 ACK FinOps成本优化最佳实践
  • 7
    阿里云 ACK 高可用稳定性最佳实践
  • 8
    云原生入门与实践:Kubernetes的简易部署
  • 9
    赋能加速AI应用交付,F5 BIG-IP Next for Kubernetes方案解读
  • 10
    阿里云ACK容器服务生产级可观测体系建设实践
  • 1
    容器服务 Kubernetes 版 ACK功能特性
    233
  • 2
    分布式云容器平台ACK One概述
    113
  • 3
    Kubernetes详解(十八)——Pod就绪性探针实战
    122
  • 4
    Kubernetes详解(十七)——Pod存活性探针应用实战
    118
  • 5
    Kubernetes 集群的持续性能优化策略
    119
  • 6
    【PolarDB开源】PolarDB与Kubernetes集成:容器化部署的最佳实践
    213
  • 7
    Kubernetes详解(十八)——Pod就绪性探针实战
    127
  • 8
    Kubernetes详解(十七)——Pod存活性探针应用实战
    72
  • 9
    Kubernetes详解(十六)——Pod容器探测
    67
  • 10
    【阿里云云原生专栏】深入解析阿里云Kubernetes服务ACK:企业级容器编排实战
    559

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 在ACK Serverless中部署Stable Diffusion应用
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 通过EDAS实现K8s微服务应用的金丝雀发布
  • 基于ACK Serverless轻松部署企业级Stable Diffusion
  • 通过Helm CLI部署wordpress到ACK集群
  • 基于MSE实现K8s集群内多服务的灰度发布

    • 推荐镜像

    更多
  • kubernetes
  • CloudFoundry
  • pouch
    • 下一篇
    DataWorks智能交互式数据开发与分析之旅