去年,,Palo Alto Networks(派拓網(wǎng)絡(luò))的威脅研究與咨詢團隊Unit 42 曾在 Google Kubernetes Engine (GKE) 中發(fā)現(xiàn)多個漏洞和攻擊技術(shù)。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產(chǎn)品GKE Autopilot,,同時甚至影響到了GKE 標準。
Unit 42 發(fā)現(xiàn) GKE Autopilot 漏洞能夠讓攻擊者升級權(quán)限,,并接管整個集群,。攻擊者可以隱秘地竊取信息,部署惡意軟件,,實施加密挖礦攻擊,以及破壞工作負載,。谷歌隨后解決了這些問題,并在 GKE 中部署了大量補丁保護集群,。到目前為止,Unit 42 未發(fā)現(xiàn)這些漏洞被廣泛利用,。
針對Kubernetes的攻擊愈演愈烈
Kubernetes是Google開源的容器編排引擎,,支持自動化部署,、大規(guī)模擴展和應(yīng)用容器化管理。根據(jù)云原生計算基金會(CNCF)的最新年度調(diào)查顯示,,絕大多數(shù)企業(yè)(83%)在生產(chǎn)環(huán)境中運行了 Kubernetes,。值得注意的是,,上云為企業(yè)帶來諸多益處的同時,也吸引了大量攻擊者,。Unit 42 監(jiān)測到許多專門用于攻擊 Kubernetes 的惡意軟件,。要想確保云上工作的安全性,,就需要企業(yè)、云安全提供商和整個網(wǎng)絡(luò)安全行業(yè)共同協(xié)作,,解決漏洞和錯誤配置等問題。
隨著 Kubernetes技術(shù)的不斷進步,,目前簡單的錯誤配置和漏洞已經(jīng)越來越少見,而攻擊者也在不斷升級攻擊行為,。研究表明,即使是 Kubernetes 中最細微的問題,,也可能成為攻擊的切入點。只有全面的云原生安全平臺,,才能讓防御者有能力保護集群免受類似威脅。
如何防范針對Kubernetes的惡意攻擊
Kubernetes 管理員可以通過制定規(guī)則和采取審核措施,,監(jiān)控、檢測和預(yù)防集群中的可疑活動和權(quán)限升級,。另外,應(yīng)用 NodeAffinity,、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開。
為了保護整個云環(huán)境,,最好的解決方案是采用全面的云原生安全平臺。作為業(yè)界唯一的全面云原生安全平臺,,Prisma Cloud 利用云服務(wù)提供商 API 提供對公有云環(huán)境的可視性和控制,,同時利用單個統(tǒng)一的代理框架將安全性擴展到主機,、容器和無服務(wù)器功能。其憑借對混合和多云環(huán)境的支持,,實現(xiàn)了全面的云原生安全,。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),,提供實時的深度云資源報告,、保持云端的合規(guī)性、保護云原生資源及賦能敏捷開發(fā),。Prisma Cloud 用戶可以啟用 Kubernetes 準入支持,解決 Kubernetes 權(quán)限升級問題,。該功能可以有效防止針對 Kubernetes 的攻擊,。迄今為止,Prisma Cloud獲得了77%的財富100強企業(yè)信賴,,客戶超過1,700家,。