美国国安局(NSA)与网络安全暨基础架构安全局(CISA)本周共同发布了一份名为《Kubernetes强化指南》(Kubernetes Hardening Guidance)的网络安全技术报告,详述了Kubernetes环境潜藏的安全威胁,并提供了相关配置的指引,以尽可能地降低其安全风险。
Kubernetes(K8s)为一开源系统,能够自动化地部署、扩展与管理于容器中运行的应用程序。根据红帽今年的调查,有多达88%的客户采用了Kubernetes,其中更有74%将Kubernetes应用于生产环境中。在部署Kubernetes的组织中,有26%只在自家的数据中心部署,有28%只部署于公有云,比例最高的是有47%同时在自家数据中心及公有云部署Kubernetes。
不过,尽管Kubernetes如此热门,在红帽的调查里,那些尚未于生产环境中部署Kubernetes的受访者中,有超过一半是因为安全问题而延后部署,且几乎所有的受访者在去年,都曾经历至少一次的Kubernetes安全意外。
NSA与CISA适时发布的《Kubernetes强化指南》刚好可用来作为部署Kubernetes的安全参考。该报告指出,Kubernetes最常被攻击的三大原因分别是窃取资料、窃取计算资源,以及服务阻断,其中,黑客最常觊觎的是Kubernetes环境中的资料,只是也会企图利用Kubernetes的底层运算架构,来执行诸如开挖加密货币等恶意行为。
因此,这两个肩负美国安全的单位建议组织应该要定期扫描容器与容器组(Pod)的安全漏洞,或者检查是否配置错误,并以所需的最低权限来执行容器与容器组,也建议隔离网络,采用防火墙,执行严格的身份认证,并审核记录。
NSA与CISA也呼吁各大组织遵循《Kubernetes强化指南》,也应即时更新版本或修补漏洞,尽可能地减少Kubernetes环境中的安全威胁。