NSA和CISA聯(lián)合發(fā)布Kubernetes安全加固建議,。

　　Kubernetes是在云端部署、擴(kuò)展和管理容器APP的非常流行的開(kāi)源解決方案，也是網(wǎng)絡(luò)攻擊的目標(biāo)。黑客攻擊Kubernetes系統(tǒng)的目標(biāo)包括竊取數(shù)據(jù)、加密貨幣挖礦、DoS攻擊等。為幫助企業(yè)更好地對(duì)Kubernetes系統(tǒng)進(jìn)行安全加固,，2021年8月3日，美國(guó)國(guó)家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布加強(qiáng)Kubernetes系統(tǒng)安全的建議,，為管理員更安全地管理Kubernetes提供安全指南,。

　　指南稱(chēng)，Kubernetes環(huán)境被黑的主要誘因是供應(yīng)鏈攻擊,、惡意攻擊者和內(nèi)部威脅,。雖然管理員無(wú)法應(yīng)對(duì)這3種威脅，但可以通過(guò)避免錯(cuò)誤配置,、減小安全風(fēng)險(xiǎn)等方式來(lái)加固Kubernetes系統(tǒng)。

　　針對(duì)Kubernetes系統(tǒng)安全風(fēng)險(xiǎn)的防護(hù)措施包括掃描容器和pod的bug和錯(cuò)誤配置,、使用最小權(quán)限來(lái)運(yùn)行pod和容器,、進(jìn)行網(wǎng)絡(luò)隔離、強(qiáng)認(rèn)證,、防火墻,、審計(jì)日志等。管理員還應(yīng)定期檢查所有的Kubernetes配置,，確保系統(tǒng)應(yīng)用了最新的補(bǔ)丁和可用更新,。

　　Kubernetes Pod 安全加固建議：

　　以非root用戶(hù)運(yùn)行基于容器的應(yīng)用；

　　盡可能地以不可變的文件系統(tǒng)運(yùn)行容器,；

　　掃描容器鏡像中可能的漏洞和錯(cuò)誤配置,；

　　使用Pod安全策略來(lái)強(qiáng)制實(shí)現(xiàn)最小等級(jí)的安全,，包括：

　　●預(yù)防高權(quán)限的容易；

　　●拒絕常被黑客利用的容器特征,，如hostPID,、hostIPC、hostNetwork,、allowedHostPath,。

　　●拒絕以root用戶(hù)或允許提權(quán)到root的容易執(zhí)行；

　　●使用SELinux,、AppArmor ,、seccomp等安全服務(wù)來(lái)加固應(yīng)用防止被利用。

　　網(wǎng)絡(luò)隔離和加固：

　　使用防火墻和基于角色的訪(fǎng)問(wèn)控制來(lái)鎖定對(duì)控制面板的訪(fǎng)問(wèn),；

　　進(jìn)一步限制對(duì)Kubernetes etcd服務(wù)器的訪(fǎng)問(wèn),；

　　配置控制面板組件來(lái)使用經(jīng)過(guò)認(rèn)證的、加密的通信,，如TLS,；

　　設(shè)置網(wǎng)絡(luò)策略來(lái)隔離資源。不同命名空間下的pod和服務(wù)仍然互相通信,，除非有其他的隔離策略實(shí)現(xiàn),；

　　將所有的憑證和敏感信息保存在Kubernetes Secrets而不是配置文件中。使用強(qiáng)加密方法來(lái)加密secrets,。

　　認(rèn)證和授權(quán)：

　　禁用匿名登錄（默認(rèn)是開(kāi)啟的）,；

　　使用強(qiáng)用戶(hù)認(rèn)證；

　　使用基于角色的訪(fǎng)問(wèn)控制策略來(lái)限制管理員,、用戶(hù)和服務(wù)賬戶(hù)的活動(dòng),。

　　日志審計(jì)：

　　啟用審計(jì)日志功能（模式是禁用的）；

　　通過(guò)日志確保node,、pod和容器級(jí)的可用性,；

　　更新和應(yīng)用安全實(shí)踐：

　　立刻應(yīng)用安全補(bǔ)丁和更新；

　　執(zhí)行周期性的漏洞掃描和滲透測(cè)試,；

　　不用時(shí)即在環(huán)境中移除組件,。