《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Kubernetes應(yīng)用中必須避免的七個(gè)基本錯(cuò)誤

Kubernetes應(yīng)用中必須避免的七個(gè)基本錯(cuò)誤

2022-11-10
來(lái)源:安全牛
關(guān)鍵詞: Kubernetes

  當(dāng)企業(yè)創(chuàng)建或使用云上應(yīng)用系統(tǒng)時(shí),,大多都需要使用Kubernetes,。據(jù)云原生計(jì)算基金會(huì)(CNCF) 最近的一份報(bào)告顯示,Kubernetes在全球已擁有近600萬(wàn)個(gè)企業(yè)用戶,,成為云上應(yīng)用程序主要的部署模式,。

  隨著Kubernetes平臺(tái)上的敏感數(shù)據(jù)越來(lái)越多,,其被攻擊的風(fēng)險(xiǎn)就越大。要實(shí)現(xiàn)Kubernetes平臺(tái)的完整安全措施需要一個(gè)系統(tǒng)化的建設(shè)過(guò)程,,但研究人員發(fā)現(xiàn),,在Kubernetes應(yīng)用產(chǎn)生的安全問(wèn)題中,超過(guò)9成都是由于非?;A(chǔ)的原因所引發(fā),,本來(lái)是可以被避免的。本文梳理總結(jié)了Kubernetes應(yīng)用中的七個(gè)最常見(jiàn)基礎(chǔ)性安全錯(cuò)誤,。

  1,、默認(rèn)配置未修改

  研究人員發(fā)現(xiàn),許多組織都在使用默認(rèn)的集群配置,,并且未引起重視,,這是個(gè)非常嚴(yán)重的錯(cuò)誤。盡管Kubernetes的默認(rèn)設(shè)置為開(kāi)發(fā)人員賦予了較大的靈活性和敏捷性,,但是卻沒(méi)有考慮安全防護(hù)層面的需求,。默認(rèn)配置在面對(duì)非法攻擊時(shí)會(huì)變得非常脆弱。為了保護(hù)Kubernetes上應(yīng)用數(shù)據(jù)的安全,,企業(yè)必須確保對(duì)集群配置的合理性和安全性,,以獲得更充分的安全防護(hù)能力。

  2,、管理員權(quán)限混亂

  為了應(yīng)用方便,,很多組織的開(kāi)發(fā)人員可以輕易的使用CLUSTER_ADMIN(集群管理員)之類(lèi)特權(quán)賬號(hào)對(duì)集群執(zhí)行日常操作,這種方式顯然是錯(cuò)誤的,。特權(quán)賬號(hào)應(yīng)該僅用于管理其他角色和用戶,,當(dāng)多個(gè)開(kāi)發(fā)者都可以擁有CLUSTER_ADMIN級(jí)別的訪問(wèn)權(quán)限時(shí),,也意味著黑客可以更加輕松的獲得訪問(wèn)權(quán)限,他們可以通過(guò)這些高級(jí)賬戶非法進(jìn)入Kubernetes上的系統(tǒng),,進(jìn)而全面訪問(wèn)整個(gè)集群中的數(shù)據(jù)資源,。

  3、過(guò)度的訪問(wèn)授權(quán)

  并非每個(gè)開(kāi)發(fā)人員都需要全面訪問(wèn)所有資源才能完成其工作,,但實(shí)際上,,許多企業(yè)的管理員卻沒(méi)有對(duì)開(kāi)發(fā)人員訪問(wèn)dev/stage/prod集群的權(quán)限類(lèi)型予以適度的管理和限制。允許開(kāi)發(fā)人員不受限制地訪問(wèn)資源是一種非常糟糕的做法,。與設(shè)有多個(gè)管理員相似,這個(gè)錯(cuò)誤很容易就會(huì)被黑客探測(cè)并利用,,他們可以使用這種不受限制的訪問(wèn)權(quán)限在貴組織的系統(tǒng)中橫向移動(dòng),,并且大量的竊取或破壞資源。

  4,、未有效的實(shí)現(xiàn)應(yīng)用隔離

  隔離是Kubernetes平臺(tái)的一種天然屬性,,可以通過(guò)命名空間來(lái)實(shí)現(xiàn)對(duì)象隔離。但是許多企業(yè)組織想當(dāng)然地以為集群網(wǎng)絡(luò)與云虛擬專(zhuān)用網(wǎng)(VPC)都會(huì)被有效的進(jìn)行隔離,,但事實(shí)并不是這樣,。企業(yè)在Kubernetes應(yīng)用中,不能忽視保護(hù)集群網(wǎng)絡(luò)中的應(yīng)用系統(tǒng),,并對(duì)重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)實(shí)現(xiàn)隔離防護(hù),。

  5、未檢測(cè)導(dǎo)入YAML的安全隱患

  Kubernetes可以支持YAML和JSON格式創(chuàng)建資源對(duì)象,,JSON格式用于接口之間消息的傳遞,,適用于開(kāi)發(fā);YAML格式用于配置和管理,,適用于云平臺(tái)管理,。YAML是一種簡(jiǎn)潔的非標(biāo)記性語(yǔ)言,導(dǎo)入公共YAML盡管可以避免重復(fù)性工作,,節(jié)省時(shí)間,,但也同樣會(huì)將錯(cuò)誤配置引入到企業(yè)環(huán)境中。因此企業(yè)在引入公共YAML時(shí),,需要充分檢測(cè)并評(píng)估其帶來(lái)的安全影響,,并確保可以解決配置過(guò)程中可能存在的安全性問(wèn)題,。

  6,、將機(jī)密數(shù)據(jù)存儲(chǔ)在ConfigMap中

  機(jī)密數(shù)據(jù)主要包括密碼、令牌或密鑰之類(lèi)的敏感數(shù)據(jù),。由于疏忽或者使用的方便,,開(kāi)發(fā)人員經(jīng)常會(huì)將一些機(jī)密信息存儲(chǔ)在ConfigMap中,,從而增加了這些敏感數(shù)據(jù)的暴露風(fēng)險(xiǎn)。ConfigMap是一種API對(duì)象,,通常只用來(lái)保存非機(jī)密性數(shù)據(jù),,它可以讓用戶將針對(duì)特定環(huán)境的配置與容器鏡像分離,以便應(yīng)用程序易于移植,。但是由于缺乏保護(hù),,黑客同樣有機(jī)會(huì)訪問(wèn)ConfigMap,因此也能夠訪問(wèn)保存在其中相關(guān)資源,。

  7,、沒(méi)有定期開(kāi)展安全掃描

  在軟件開(kāi)發(fā)生命周期(SDLC)和持續(xù)集成/持續(xù)交付(CI/CD)管道的早期階段執(zhí)行定期掃描,以查找錯(cuò)誤配置和漏洞,,這有助于杜絕這些問(wèn)題進(jìn)入到生產(chǎn)環(huán)境的可能性,。但現(xiàn)實(shí)中,許多組織都沒(méi)有這樣的安全計(jì)劃或缺少行動(dòng),。從攻擊成本角度看,,黑客通常會(huì)尋找最省事的攻擊目標(biāo)。因此,,企業(yè)首先要確保自己不是保護(hù)最乏力的組織,,這樣就可以減少成為被攻擊目標(biāo)的可能性。開(kāi)展日常性的安全漏洞檢查并且有效落實(shí),,正是一種快速提升安全能力的有效途徑,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。