NSA发布Kubernetes安全加固建议

安全
Kubernetes是在云端部署、扩展和管理容器APP的非常流行的开源解决方案,也是网络攻击的目标。黑客攻击Kubernetes系统的目标包括窃取数据、加密货币挖矿、DoS攻击等。

[[415543]]

NSA和CISA联合发布Kubernetes安全加固建议。

Kubernetes是在云端部署、扩展和管理容器APP的非常流行的开源解决方案,也是网络攻击的目标。黑客攻击Kubernetes系统的目标包括窃取数据、加密货币挖矿、DoS攻击等。为帮助企业更好地对Kubernetes系统进行安全加固,2021年8月3日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)联合发布加强Kubernetes系统安全的建议,为管理员更安全地管理Kubernetes提供安全指南。

NSA发布Kubernetes安全加固建议

指南称,Kubernetes环境被黑的主要诱因是供应链攻击、恶意攻击者和内部威胁。虽然管理员无法应对这3种威胁,但可以通过避免错误配置、减小安全风险等方式来加固Kubernetes系统。

针对Kubernetes系统安全风险的防护措施包括扫描容器和pod的bug和错误配置、使用最小权限来运行pod和容器、进行网络隔离、强认证、防火墙、审计日志等。管理员还应定期检查所有的Kubernetes配置,确保系统应用了最新的补丁和可用更新。

NSA发布Kubernetes安全加固建议

Kubernetes Pod 安全加固建议:

  • 以非root用户运行基于容器的应用;
  • 尽可能地以不可变的文件系统运行容器;
  • 扫描容器镜像中可能的漏洞和错误配置;
  • 使用Pod安全策略来强制实现最小等级的安全,包括:

●预防高权限的容易;

●拒绝常被黑客利用的容器特征,如hostPID、hostIPC、hostNetwork、allowedHostPath。

●拒绝以root用户或允许提权到root的容易执行;

●使用SELinux、AppArmor 、seccomp等安全服务来加固应用防止被利用。

网络隔离和加固:

  • 使用防火墙和基于角色的访问控制来锁定对控制面板的访问;
  • 进一步限制对Kubernetes etcd服务器的访问;
  • 配置控制面板组件来使用经过认证的、加密的通信,如TLS;
  • 设置网络策略来隔离资源。不同命名空间下的pod和服务仍然互相通信,除非有其他的隔离策略实现;
  • 将所有的凭证和敏感信息保存在Kubernetes Secrets而不是配置文件中。使用强加密方法来加密secrets。

认证和授权:

  • 禁用匿名登录(默认是开启的);
  • 使用强用户认证;
  • 使用基于角色的访问控制策略来限制管理员、用户和服务账户的活动。

日志审计:

  • 启用审计日志功能(模式是禁用的);
  • 通过日志确保node、pod和容器级的可用性;

更新和应用安全实践:

  • 立刻应用安全补丁和更新;
  • 执行周期性的漏洞扫描和渗透测试;
  • 不用时即在环境中移除组件。

完整的Kubernetes安全加固指南参见:https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

本文翻译自:https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-02-10 19:46:19

Kubernetes云原生云安全

2021-12-19 22:44:16

Linux安全服务器

2021-08-05 05:03:56

NSA无线安全

2024-03-14 12:15:03

2023-07-20 13:57:00

2022-07-04 00:07:18

PowerShellWindows限制

2015-04-22 11:02:37

2021-08-03 14:17:47

Kubernetes容器安全

2015-02-28 13:32:21

应用安全移动应用安全

2011-08-11 14:24:04

2014-07-30 13:42:22

2021-08-12 10:31:59

MySQL安全方法

2012-08-01 09:12:46

2021-09-06 15:32:51

CISAKubernetes测试工具

2023-09-14 12:18:49

网络安全深度伪造

2024-06-06 12:19:49

2024-08-27 12:54:37

2018-04-20 08:14:41

2013-06-08 09:30:41

2013-07-15 10:39:43

点赞
收藏

51CTO技术栈公众号