导读:随着Kubernetes的地位越来越突出,人们越来越关注我们如何评估其有效性并减轻容器安全漏洞。此类漏洞可能会使群集处于不安全状态或容器受到威胁,易于被恶意用户滥用以进行诸如加密采矿之类的事情。
我最近与NCC Group的首席安全顾问Rory McCune进行了交谈,以发现当今的容器和容器编排环境中存在哪些常见漏洞。在8月3日至4 日举行的Black Hat虚拟会议期间,McClune将领导Mastering Container Security IV培训,这是为期两天的深入学习Mastering Container Security。
常见的Docker安全问题
McCune指出,黑客正在寻找新的方法来升级访问权限并调用Docker命令。远程容器命令执行尤其令人担忧。如果不进行适当配置就对Internet开放,则容器生态系统将变得非常脆弱。
黑客多年来使用的一种策略是将恶意代码插入Docker Hub上的Docker映像中。但是,随着公司对这种策略的意识日益增强,黑帽子很快就会适应,找到直接在受感染机器上构建恶意软件的方法。
McCune说,Docker有一个相当危险的安装模型。Docker Image安装程序具有固有的风险,在允许任何新安装特权访问Docker套接字或守护程序之前,应仔细审查软件包。
另一个问题是打补丁。许多容器映像只是五到七年没有更新。这些图像可能不是故意包含恶意代码,但它们可能同样容易受到攻击。如前所述,容器映像需要不断更新和审核,以跟上新漏洞利用和安全基准的不断发展。
因此,McCune认为,理想情况下,工程师“应始终保持自己的形象”。但是,他承认图像可重用性是必要的,并且开发人员可能并不总是拥有可用资源。“这里不可避免地要权衡取舍。”
Kubernetes漏洞
“ Docker非常简单,” McCune说。“最终,您可以理解。” 另一方面,Kubernetes是一个完全不同的故事。
Kubernetes的复杂性确实限制了它的可访问性。断开连接甚至刺激了新的UX层来解决K8的可见性问题。
当仅部分了解技术主题时,就会固有地出现安全问题。Kubernetes的追随者可能没有意识到其维护方面的障碍。这种混乱会导致补丁和升级的复杂性,从而降低安全性。
使用过时的软件是一种欢迎黑客的绝招。“您需要每九个月升级一次,” McCune说。Kubernetes弃用政策明确指出,GA API版本仅支持12个月,而Beta版则受到有效支持9个月。不习惯这种发布频率的传统公司应该在加入之前先评估一下Kubernetes的最佳实践。
Kubernetes还提供大型攻击服务。“您可以在网络上拥有六个服务,” McCune说。如果一项服务受损,则可能会影响整个群集或计算机。Kubernetes的网络不安全性是两到三年前的一个严重问题,但是McCune承认它们正在改善。
仍然普遍存在的威胁是特权升级的可能性。K8s是一个多用户系统,旨在让许多开发人员小组研究独立的应用程序。并非所有人都应该有权管理整个集群。而且,由于Kubernetes允许每个应用程序访问都可以与主要API进行通信,因此如果配置错误,权限可以迅速升级。
为了帮助锁定网络,Kubernetes确实为网络策略提供了本机访问控制系统。但是,手动分析权限很繁琐。Aqua Security,Twistlock,NeuVector和其他公司的商业解决方案可以帮助从友好的Web GUI管理访问控制。
通常,请注意不要提供比预期更多的权利。授权是关键。
最后的想法
McCune说:“ Kubernetes非常复杂,很容易在配置方式上犯错误。” 如果不修补,Kubernetes和容器漏洞可能会导致灾难性的破坏。
如今,发现脆弱的在线系统并不需要付出太多努力。例如,Shodan搜索引擎会分析整个Internet的漏洞,并可以轻松地用于定位易受攻击的Internet连接的设备。
攻击者将Kubernetes视作一种获取计算能力以访问机器上的加密矿的手段。“如果您的集群配置错误,那么您将很快受到损害。”
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
