为了帮助系统管理员更好地保护开源容器编排工具Kubernetes,美国国家安全局(National Security Agency)和网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)发布了一份新报告,Kubernetes加固指南详细描述了Kubernetes环境面临的威胁,并提供了配置指南以最小化风险。
据美国国家安全局官员称,Kubernetes集群通常托管在云环境中,与传统软件平台相比,它提供了更大的灵活性,但也经常成为攻击者的目标,这些攻击者试图窃取数据或计算机能力,用于加密货币挖掘或进行拒绝服务攻击。与大多数系统一样,它们很容易受到供应链黑客、恶意威胁行为者和内部威胁的攻击。
该报告建议对Kubernetes系统进行加固,方法是扫描容器和pod,查找漏洞或错误配置,以尽可能低的权限运行容器和pod,并使用网络隔离、防火墙、强身份验证和日志审计。
虽然该指导方针的目标是国家安全系统和关键基础设施组织的管理者,但也鼓励联邦和州、地方、部落和地区政府网络的管理者实施所提供的建议。
报告认为,Kubernetes中三种常见的妥协来源是供应链风险、恶意威胁行为者和内部威胁。供应链风险通常难以减轻,并且可能在容器构建周期或基础设施获取过程中产生。恶意威胁行为者可以利用Kubernetes体系结构组件(如控制平面、工作节点或容器化应用程序)中的漏洞和错误配置。内部威胁可以是管理员、用户或云服务提供商。对组织的Kubernetes基础设施有特殊访问权限的内部人员可能会滥用这些特权。
指南描述了与设置和保护Kubernetes集群相关的安全挑战。它包括加固策略,以避免常见的错误配置,并指导国家安全系统的系统管理员和开发人员如何部署Kubernetes,以及推荐的加固措施和缓解措施的示例配置。指南详细说明了以下缓解措施:
- 扫描容器和pods是否存在漏洞或配置错误。
- 以尽可能少的权限运行容器和pods。
- 使用网络隔离来控制可能造成的损害。
- 使用防火墙限制不必要的网络连接,并使用加密保护机密性。
- 使用强认证和授权,限制用户和管理员的访问权限,限制攻击面。
- 使用日志审计,以便管理员可以监视活动并向其发出警报,报告潜在的恶意行为。
- 定期检查所有Kubernetes设置,并使用漏洞扫描来帮助管理员。
- 确保适当地考虑风险并应用安全补丁。
更多的安全加固指导,请参阅互联网安全中心Kubernetes基准测试、Docker和Kubernetes安全技术实施指南、网络安全和基础设施安全局(CISA)分析报告和Kubernetes文档。可在公众号对话框回复关键字:「nsa」免费获取。
