NSA和CISA 联合发布Kubernetes 安全加固指南

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布一份59页的技术报告，提出加固 Kubernetes 集群的安全指南。

Kubernetes 最初由谷歌公司的工程师开发，随后由云原生计算基金会开源，它是当前最流行的容器协作软件。Kubernetes 主要用于基于云的基础设施内部，便于系统管理员使用软件容器部署新的 IT 资源。

然而，由于 Kubernetes 和 Docker 模型和传统的单片软件平台之间存在巨大不同，因此很多系统管理员在安全配置 Kubernetes 方面问题颇多。多年来，多款密币挖掘僵尸网络都在攻击这类配置错误问题。威胁行动者扫描互联网上被暴露的未认证的 Kubernetes 管理功能或者扫描在大型 Kubernetes 集群（如 Argo Workflow 或 Kubeflow）上运行的应用程序，获得对Kubernetes后端的访问权限，之后利用这种权限在受害者云基础设施上部署密币挖掘应用。这些攻击早在2017年初就已发生，而现在已发展为多个团伙为了利用同一个配置错误的集群而“大打出手”。

CISA 和 NSA 发布的这份指南旨在为系统管理员提供关于未来 Kubernetes 配置的安全基线，以避免遭受此类攻击。另外除了基本的配置指南外，这份报告还详述了企业和政府机构可采取的基本缓解措施，阻止或限制 Kubernetes 安全事件的严重性，包括：

• 扫描容器和 Pods，查找漏洞或配置错误问题。

• 尽可能以最小权限运行容器和 Pods。

• 使用网络分割来控制攻陷事件造成的损害。

• 使用防火墙来限制不必要的网络连接和加密以保护机密性。

• 使用强认证和授权限制用户和管理员访问权限以及限制攻击面。

• 使用日志审计，以便管理员能够监控活动并收到关于潜在恶意活动的警报。

• 定期审计所有的 Kubernetes 设置并使用漏洞扫描确保安全风险得到控制，补丁已应用。

  完整指南可见：https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

推荐阅读

CISA：企业断网3到5天，赶走网络中的 SolarWinds 黑客

通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击

无补丁：所有 Kubernetes 版本均受中间人 0day 漏洞影响

原文链接

https://therecord.media/nsa-cisa-publish-kubernetes-hardening-guide/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~