2018年黑客攻击了特斯拉在亚马逊上的Kubernetes容器集群。的原因该集群控制台未设置密码保护,黑客便得以在两个Kubernetespod中声望兑换到访问凭证,然后把据此ftp连接其网络存储桶S3,通过S3资源到了一些很敏感数据,例如遥测技术,但是还在特斯拉的Kubernetespod中进行挖矿。该事件只不过是Kubernetes代码注入的另一个典型案。近十多年来,以Kubernetes为代表的安全编排工具让企业利用了应用的自动化专业部署,给企业给了了那巨大的业务收益。但是,和现代环境下一样的,那些部署也很难是被黑客和内鬼的攻击和依靠,Kubernetes的安全也所以拥有容器使用中高中理科破坏对象。在商讨Kubernetes安全以前,必须让我们来所了解下Kubernetes的工作流程。一、Kubernetes工作流程Kubernetes是三个容器编排工具,可不自动不能执行容器的部署、可以更新和监控。绝大部分要注意的容器管理和云平台(例如Red Hat OpenShift、Docker EE、Rancher、IBM Cloud、AWS EKS、Azure、SUSECaaS和Google Cloud)都允许Kubernetes。以下是或者Kubernetes的一些关键知识:主节点。主节点服务器管理着Kubernetes工作节点集群,并在工作节点上防御部署Pod。从节点。也称为工作节点,通常运行应用容器和那些Kubernetes组件,.例如agent。Pod。Kubernetes中的部署和可寻址单位。平均pod都更具自己的IP地址,而且也可以包涵一个或多个容器(常见是三个)。服务。服务作为底层Pod的代理,但是这个可以对不同的Pod通过负载均衡。系统组件。主要是用于管理Kubernetes集群的最重要的组件除开API服务器、Kubelet和etcd。这些个组件大都潜在原因的攻击目标。上文所述的特斯拉事件是防御了没有密码保护的Kubernetes控制台来安装加密挖矿软件。在Kubernetes拨号连接中,每个Pod也有自己的可路由IP地址。Kubernetes的网络插件专门负责将主机之间的绝大部分跪请从内部路由到或者的Pod。可以不是从服务、负载均衡或入口控制器来提供对Kubernetespod的外部ftp访问帮忙,Kubernetes会将其路由到尽量多的pod。Pod是从那些个不叠加网络,也就是“包内之包”相互通信,并接受负载均衡和DNAT来与或者的Pod进行连接。是可以不使用适当地的报头对数据包接受整体封装,将它们邮箱里到你所选的目的地,然后再在目的地解除封装方法。Kubernetes会代码处理全部这个叠加网络,并且,监控网络流量太很难,以保证网络安全更是难如登天。对Pod中不运行的容器接受攻击,既这个可以实际网络从外部通过,也这个可以由内鬼在内部参与,.例如,黑客通过网络钓鱼攻击,让受害者的系统下一界内部攻击的跳板。是对Kubernetes的漏洞和攻击向量除开:1.容器陷落。若存在地应用配置出错或漏洞,攻击者就能够进入到容器中,探测网络、进程控件或文件系统中的弱点。2.Pod与未经授权的连接。失陷容器肯定会与同样的主机或其他主机上的别的一直在不运行的Pod接受再连接,以进行探察或发动攻击。哪怕第3层网络控件也可以将PodIP地址按照相关规定白名单,能提供了一些保护,但是仅有第7层网络过滤才能怎么检测到对受绝对信任IP地址的攻击。3.Pod的数据渗透。数据窃取通常是建议使用多种技术成组合来能完成的,包括在pod中并且倒跌shell连接,连接到CC服务器和网络隧道,进而隐藏地机密数据。二、实时地增加Kubernetes的运行时安全在容器耗去生产运行后,保卫Kubernetes安全最重要的三个安全向量共有是:主机安全、容器检查和网络过滤。主机安全如果容器启动所在的主机(比如Kubernetes工作节点)遭到攻击入侵,则可能会会造成:是从提权,基于root用户权限侵吞应用于ftp访问安全应用或基础结构的秘钥你要改集群管理员权限主机资源物理损坏或杀害(的或挖矿软件)影响不大关键兰州快板工具基础架构,比如APIServer或Docker守护者程序像容器一样的,要对主机系统的行踪可疑活动通过监控。而且容器可以不像主机一般运行操作系统和应用,所以才,必须像监视容器进程和文件系统活动差不多监控主机。总之,综合类通过网络检查、容器检查和主机安全,自然形成了从多个向量来检测检测Kubernetes攻击的最佳的方法方法。容器检查攻击每天都利用提权和恶意进程来率先实施或传播攻击。Linux内核(如DirtyCow)、软件包、库或应用程序本身的漏洞利用,都肯定可能导致容器被攻击。检查容器进程和文件系统活动并可以检测可疑人物行为是必须保证容器安全的两个关键要素。应该要先检测大部分可疑人物进程,.例如端口扫描和反向移动再连接或提权。内置先检测和基线行为学习过程应增强在一起,是可以据以前的活动识别十分进程。如果没有容器化应用是根据微服务原则怎么设计的,容器中的平均应用功能太远,并且是在用所需的软件包和库来统合的,这样,先检测可疑人物进程和文件系统活动将极其不容易和详细。网络过滤容器防火墙是一种新类型的网络安全产品,是可以将悠久的传统的网络安全技术应用到新的云原生Kubernetes环境中。有完全不同的也可以以保证容器网络的安全:实现IP地址和端口的3/4层过滤。该方法需要制定出Kubernetes网络策略,以相册可以更新规则,在容器布署不可能发生需要变更和内存量时可以提供保护。简单的网络隔离规则并不能不能能提供重要业务容器防御部署所需的强横无比监控、日志记录和威胁检测功能,仅提供对于未被授权连接到的某种保护。Web应用程序防火墙(WAF)攻击可以检测是可以建议使用怎么检测最常见的一种攻击的方法来完全保护正向Web的容器(正常情况是实现HTTP的应用)。但,这个完全保护仅超出通过HTTP参与的外部攻击,不过还有了内部流量通常所需的多协议过滤。第7层容器防火墙。具备第7层过滤功能和pod间流量底数据包检查功能的容器防火墙可可以使用网络管理协议保护容器。这是基于组件应用程序协议白名单和对基于组件网络的常见应用程序攻击(比如DDoS、DNS和SQL注入)的内置检测。容器防火墙有另一个奇特功能,是可以将容器进程监控和主机安全全部纳入监控的威胁向量中。底数据包检测(DPI)技术对于容器防火墙中的深度数据安全极其关键。代码注入大多在用可预测的攻击向量:故意HTTP各位,或在XML对象中乾坤二卦可负责执行shell命令。基于第7层DPI的检测可以不不识别那些个方法。可以使用这些个技术的容器防火墙这个可以确定是否是应允许你是什么Pod连接上,或是确认是否是是应该追踪的潜在因素攻击。考虑到容器和Kubernetes联网模型的动态性,传统的应用于网络可见性、取证总结的工具肯定就不再可以参照了。很简单任务(.例如进行数据包捕抓,主要是用于调试应用或调查安全事件)也继续那就很简单。是需要新的Kubernetes和容器感知工具来不能执行网络安全、检查和取证任务。确保Kubernetes系统与资源的安全如果不对Kubernetes接受安全保护,Kubernetes以及基于组件Kubernetes的管理平台肯定非常容易给予攻击。这个漏洞不暴露了容器防御部署的新攻击面,很很有可能被黑客利用。为了完全保护Kubernetes和管理平台自身不受攻击,要做的个基本都步骤就是对的配置RBAC,确保全用户完成适当地的系统资源。同时,还不需要审查和配置100元以内方面的访问控制权限。保卫API服务器。为API服务器配置RBAC或手动创建防火墙规则,能够防止未经授权的访问。限制Kubelet权限。为Kubelet配置RBAC,并管理证书轮换以保卫Kubelet。特别要求对大部分外部端口进行身份验证。一栏所有可从外部不能访问的端口,并删除不必要的端口。不需要对所需的外部端口进行身份验证。这对未经身份验证的服务,则本活动仅限白名单访问。限制下载或删出控制台访问。如果对的配置,是可以让用户通过强密码或双因素身份认证参与登陆,否则不不不能访问控制台/代理。具体而言,增强功能强大的主机安全,锁定工作节点,也可以完全保护Kubernetes重新部署基本架构不受侵害攻击。不过,还建议您使用视频监视工具来跟踪对基础结构服务的访问,检测未经授权的连接和潜在原因攻击。我们始终以特斯拉Kubernetes控制台漏洞分析为例。在黑客攻下了工作节点后,可能会成立另一个外部连接上,操纵加密货币挖矿软件。对容器、主机、网络和系统资源进行基于策略的实时监控,是可以检测到行踪可疑进程以及未经授权的外部连接上。三、写在最后近年来,越来越少的企业就开始瞬间加速业务上云的步伐,按结构容器化方法将应用迁移到云端。而Kubernetes还能够在一组机器上启动和总体协调容器化服务,并且,在企业的容器化过程中能发挥了重要作用。确实Kubernetes自身提供给了RBAC(设计和实现角色的访问控制)策略和基础架构安全功能,但其本身并不是安全工具。在按照Kubernetes并且关键是业务作战部署时,不需要判断的一项优先于功能那就是方便。本文从网络、容器和主机三个方面能介绍了Kubernetes的一些不重要安全措施,防止突然发生特斯拉相似的安全事件。