白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法

admin 6个月前 ( 04-20 07:15 ) 0条评论
摘要: 九个Kubernetes最佳安全实践 - Connor Gilbert...

2018年12月,Kubernetes生态系统因发现世界上最受欢迎的Dockers和谐器Kubernetes的榜首个首要安全缝隙而不坚定。该缝隙(CVE-2018-1002105)使进犯者能够经过Kubernetes API效劳器损坏集群,答应他们运转代码来履行歹意软件等歹意活动。

本年早些时候,特斯拉Tesla 白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法遭受了由Kubernetes操控台过错装备引起的杂乱的加密钱银发掘歹意软件感染。进犯者利用了特定Kubernetes操控台没想爱爱有密码维护的现实,答应他有必要犯规的游戏第五季们拜访其间一个包含特斯拉大型AWS环境拜访凭证的pod。

跟着组织加快选用容器和容器和谐器,他们需求采纳必要措施来维护核算根底架构中的这一要害部分。为了协助完结这项作业,请依据客户定见查看这九项Kubernetes安全最佳实践,您应舞姬恋风传遵从以协助维护您的根底架构。

1.晋级到最新版别

每个季度更新都会增加新的安全功用 - 而不仅仅是过错修正 - 为了充分利用它们,咱们主张您运转最新的安稳版别。最好的办法是运用最新版别运转最新版别,特别是考虑刘大锁到CVE-2018-10021白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法05的发现。晋级和支撑或许会越来越难以落后,因而方案每季度至少晋级一次。运用保管的Kubernetes供给程序能够十分轻松地进行晋级。

2.启用依据人物的拜访操控(RBAC)

操控谁可白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法以拜访Kubernetes API以及他们对依据人物的拜访操控(RBAC)的权限。默许情况下,RBBA一般在Kubernetes 1.6及更高版别中启用(稍后关于某些保管供给商),但假如您久其格格从那时起进行了晋级而且未更改装备,则需求细心查看您的设置。因为Kubernetes授权操控器的组合办法,您有必要一起启用RBAC并禁用传统的依据特点的拜访操控(ABAC非你莫属罗志林)。

一旦施行了RBAC,您依然需求有效地运用它。一般应防止运用群集规模的权限,以支撑特定于命名空间的权限。防止给予任何群集办理员权限,即便是为了调试 - 仅在需求的情况下依据具体情况颁发拜访权限更安全。

您能够运用kubectl get clusterrolebinding或kubectl get rolebinding -all-namespaces来探究集群人物和范文芳老公人物。快速查看谁被颁发特别的“集群办理员”人物; 在这个比如中,它仅仅“主人”组:

image.png

假如您的运用程序需求拜访Kubernetes API,请独自创立效劳帐户,并为每个运用站点供给所需的最小权限集。这比为命名空间的默许帐户颁发过宽的权限要好。

大多数运用程序底子不需求拜访API; 关于这些,能够将automountServiceAccountToken设置为“false”。

3.运用命名空间树立安全鸿沟

创立独自的命名空间是组件之间重要的榜首级阻隔。当不同类型的作业负载布置在不同的命名空间中时,咱们发现运用安全操控(如网络战略)要简单得多。

您的团队是否有效地运用称号空间?经过查看任何非默许命名空间来当即查找:

image.png

4.独自运转灵敏的作业

为了约束折衷的潜在影响,最好在一组专用核算机上运转灵敏作业负载。此办法降低了经过同享容器运转时或主机白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法的安全性较低的运用程序拜访灵敏运用程序的危险。例如,受损节点的kubelet凭证一般只要在安装到该节点上组织的pod中时才干拜访秘要内容 - 假如古巨基亲历枪击案重要秘要被以此戒指组织到整个集群中的许多节点上,则进犯者将有更多时机盗取它们。

您能够运用节点池(在云或本地)和Ku收回高铬砖bernetes命名空间,污点,容差和其他控件来完成此别离。

5.安全的云元数据拜访

灵敏元数据(例如kubelet办理员凭证)有时会被盗或被乱用以晋级群会集的权限。例如,最近的Shopify张境原坐月子过错赏金发表具体阐明晰用户怎么经过将微服fm815务混杂为云供给商的元数据效劳走漏信息来晋级权限。GKE的元数据躲藏功用会更改群集布置机制以防止此露出,咱们主张运用它直到将其替换为永久解决方案。在其他环境中或许需求相似的对策。

6.创立和界说群集网络战略​​​​​​​

网络战略答应您操控进出容器化运用程序的网络拜访。要运用它们,您需求保证具有支撑此资源的网络供给程序; 关于一些保管的Kube白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法rnetes供给ultimatesurrender商,例如Goog白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法le Kubernetes Engine(GKE),您需求挑选参加。(假如您的群集现已存在,在GKE中启用网络战略将需求进行简略的龙珠h翻滚晋级。)一旦到位,请从一些根本开端默许网络战略,例如默许阻挠来自其他命名空间的流量。

假如您在Google容器引擎中运转,则能够查看群集是否在启用了战略支撑的情况下运转

7.运转群集规模的Pod安全战略

Pod安全战略设置答应在徽府茶行群会集运转作业负载的默许值。考虑界说战略并启用Pod安全战略男同video答应操控器 - 阐明因云供给商或布置模型而异。首要,您能够要求布置删去NET_RAW功用以抵挡某些类型的网络诈骗进犯。

8.加强节柞木虫点安全

您能够依照以下三个过程来改善节点上的安全状况:

保证主机安全且装备正确。一种办法是依据CIS基准查看您的装备; 许多产品都有主动清洗器,能够主动评价这些规范的契合性。

操控对灵敏端口的网络拜访。保证您的网络阻挠拜访kubelet运用的端口,包含10250和10255.考虑约束对可信网络以外的Kubernetes API效劳器的拜访。歹意用户乱用对这些端口的拜访权限,以便在未装备为需求在ku滋尔滨belet API效劳器上进行身份验证和授权的群会集运转加密钱银挖白化病萝莉,九个Kubernetes最佳安全实践 - Connor Gilbert,肘子的做法掘者。

最小化对Kubernetes节点的办理拜访。一般应约束对群会集节点的拜访 - 一般能够在不直接拜访节点的情况下处理调试和其他使命。

9.启用审阅日志记载

保证您已启用审阅日志帝御九荒并监督它们是否存在反常或不需求的API调用,尤其是任何授权失利 - 这些日志条目将显现状况音讯“制止”。授权失利或许意味着进犯者企图乱用被盗的凭证。保管Kubernetes供给程序(包含GKE)可在其云操控台中拜访此数据,并答应您设置授权失利警报。

文章版权及转载声明:

作者:admin本文地址:http://www.haiwaizy.cn/articles/840.html发布于 6个月前 ( 04-20 07:15 )
文章转载或复制请以超链接形式并注明出处竞技宝app下载_竞技宝app下载安装_竞技宝app二维码