美国安全局 NSA、CISA 发布 Kubernetes 安全加固指南

简介: 公众号【云原生生态圈】内附免费下载地址,回复nsa

为了帮助系统管理员更好地保护开源容器编排工具Kubernetes,美国国家安全局(National Security Agency)和网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)发布了一份新报告,Kubernetes加固指南详细描述了Kubernetes环境面临的威胁,并提供了配置指南以最小化风险。

据美国国家安全局官员称,Kubernetes集群通常托管在云环境中,与传统软件平台相比,它提供了更大的灵活性,但也经常成为攻击者的目标,这些攻击者试图窃取数据或计算机能力,用于加密货币挖掘或进行拒绝服务攻击。与大多数系统一样,它们很容易受到供应链黑客、恶意威胁行为者和内部威胁的攻击。

该报告建议对Kubernetes系统进行加固,方法是扫描容器和pod,查找漏洞或错误配置,以尽可能低的权限运行容器和pod,并使用网络隔离、防火墙、强身份验证和日志审计。

虽然该指导方针的目标是国家安全系统和关键基础设施组织的管理者,但也鼓励联邦和州、地方、部落和地区政府网络的管理者实施所提供的建议。

报告认为,Kubernetes中三种常见的妥协来源是供应链风险恶意威胁行为者内部威胁。供应链风险通常难以减轻,并且可能在容器构建周期或基础设施获取过程中产生。恶意威胁行为者可以利用Kubernetes体系结构组件(如控制平面、工作节点或容器化应用程序)中的漏洞和错误配置。内部威胁可以是管理员、用户或云服务提供商。对组织的Kubernetes基础设施有特殊访问权限的内部人员可能会滥用这些特权

指南描述了与设置和保护Kubernetes集群相关的安全挑战。它包括加固策略,以避免常见的错误配置,并指导国家安全系统的系统管理员和开发人员如何部署Kubernetes,以及推荐的加固措施和缓解措施的示例配置。指南详细说明了以下缓解措施:

  • 扫描容器和pods是否存在漏洞或配置错误。
  • 以尽可能少的权限运行容器和pods。
  • 使用网络隔离来控制可能造成的损害。
  • 使用防火墙限制不必要的网络连接,并使用加密保护机密性。
  • 使用强认证和授权,限制用户和管理员的访问权限,限制攻击面。
  • 使用日志审计,以便管理员可以监视活动并向其发出警报,报告潜在的恶意行为。
  • 定期检查所有Kubernetes设置,并使用漏洞扫描来帮助管理员。
  • 确保适当地考虑风险并应用安全补丁。

更多的安全加固指导,请参阅互联网安全中心Kubernetes基准测试、Docker和Kubernetes安全技术实施指南、网络安全和基础设施安全局(CISA)分析报告和Kubernetes文档。可在公众号对话框回复关键字:「nsa」免费获取。

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
存储 Kubernetes 安全
一文搞懂基于 Kubescape 进行 Kubernetes 安全加固
Hello folks! 今天我们介绍一款开源容器平台安全扫描工具 - Kubescape。作为第一个用于测试 Kubernetes 集群是否遵循 NSA-CISA 和 MITREATT&CK 等多个框架安全部署规范的开源工具,Kubescape 在整容器编排生态中具有举足轻重的意义。在这篇文章中,我们将解析什么是 Kubernetes 加固以及如何基于 Kubescape 工具进行 Kubernetes 生态体系加固。
307 0
|
Kubernetes 监控 安全
Kubernetes 中 API 安全加固
Kubernetes 中 API 安全加固
176 1
|
运维 Kubernetes 负载均衡
kubernetes 灰度发布
kubernetes 灰度发布
522 1
|
运维 Kubernetes Cloud Native
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(二)
快速学习Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(二)
|
运维 Kubernetes Cloud Native
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(一)
快速学习Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(一)
|
运维 Kubernetes Cloud Native
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(一)
快速学习 Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布
Kubernetes 应用通过 Service Mesh 进行流量切分与灰度发布|学习笔记(一)
|
Kubernetes 负载均衡 监控
Kubernetes 实现灰度和蓝绿发布
Kubernetes 实现灰度和蓝绿发布
1197 1
|
Kubernetes jenkins 持续交付
Kubernetes 实现 CI/CD 发布流程
Kubernetes 实现 CI/CD 发布流程
370 1
|
Kubernetes Go API
【开个坑】 kustz 快速发布应用到 Kubernetes
写一个工具 kustz, 在一个文件中管理发布所有工具。
116 0
|
运维 自然语言处理 Kubernetes
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
通过 eBPF 无侵入地采集多语言、多网络协议的黄金指标/网络指标/Trace,通过关联 Kubernetes 对象、应用、云服务等各种上下文,同时在需要进一步下钻的时候提供专业化的监测工具(如火焰图),实现了 Kubernetes 环境下的一站式可观测性平台。
597 3
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
下一篇
无影云桌面