近日,科技新聞界傳來(lái)一則關(guān)于Kubernetes安全性的重要警報(bào)。據(jù)bleepingcomputer報(bào)道,微軟在其最新的安全研究中指出,使用Kubernetes進(jìn)行應(yīng)用部署時(shí),特別是通過(guò)Helm charts進(jìn)行快速部署,存在重大的安全隱患。
Kubernetes,這一開源平臺(tái),因其能夠自動(dòng)化地部署、擴(kuò)展及管理容器化應(yīng)用而廣受歡迎。Helm,作為Kubernetes的包管理工具,通過(guò)charts大大簡(jiǎn)化了復(fù)雜應(yīng)用的部署流程。然而,微軟Defender for Cloud Research團(tuán)隊(duì)的研究人員Michael Katchinskiy和Yossi Weizman卻發(fā)現(xiàn),許多Helm charts的默認(rèn)配置中缺少了關(guān)鍵的安全措施。
研究人員警告,對(duì)于缺乏云安全經(jīng)驗(yàn)的用戶來(lái)說(shuō),直接使用這些默認(rèn)配置可能會(huì)將服務(wù)無(wú)意間暴露在互聯(lián)網(wǎng)上,從而增加了被攻擊者掃描并利用漏洞的風(fēng)險(xiǎn)。這一問(wèn)題在現(xiàn)成的Helm charts中尤為突出。
為了具體說(shuō)明這一問(wèn)題,微軟在其報(bào)告中列舉了三個(gè)典型的案例。Apache Pinot的Helm chart通過(guò)Kubernetes LoadBalancer服務(wù)暴露了核心組件,如pinot-controller和pinot-broker,且未設(shè)置任何身份驗(yàn)證措施。Meshery則可以通過(guò)暴露的IP地址進(jìn)行公開注冊(cè),使得任何人都有可能獲取集群的操作權(quán)限。而Selenium Grid則通過(guò)NodePort在所有集群節(jié)點(diǎn)上暴露了服務(wù),僅僅依賴于外部防火墻進(jìn)行保護(hù)。
值得注意的是,盡管官方的Helm chart可能不存在這些問(wèn)題,但在GitHub上的許多項(xiàng)目中,類似的安全隱患仍然普遍存在。事實(shí)上,網(wǎng)絡(luò)安全公司W(wǎng)iz曾發(fā)現(xiàn)攻擊者利用Selenium Grid的配置錯(cuò)誤,部署了XMRig礦工來(lái)挖掘Monero加密貨幣。
針對(duì)這一現(xiàn)狀,微軟強(qiáng)烈建議用戶在使用Helm charts時(shí),從安全角度出發(fā),仔細(xì)審查其默認(rèn)配置,確保包含了身份驗(yàn)證和網(wǎng)絡(luò)隔離等關(guān)鍵的安全措施。微軟還建議用戶定期掃描公開暴露的工作負(fù)載接口,并密切監(jiān)控容器中的可疑活動(dòng),以防止?jié)撛诘陌踩{。
研究人員進(jìn)一步強(qiáng)調(diào),如果不仔細(xì)檢查YAML文件和Helm charts,企業(yè)可能會(huì)在沒有任何保護(hù)的情況下部署服務(wù),從而完全暴露在攻擊者的威脅之下。這一警告無(wú)疑為所有使用Kubernetes和Helm進(jìn)行應(yīng)用部署的企業(yè)和個(gè)人敲響了警鐘。
微軟還建議,為了提高整體的安全性,企業(yè)可以考慮采用更為嚴(yán)格的訪問(wèn)控制和身份驗(yàn)證機(jī)制,以及加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)提升,確保所有員工都能夠充分認(rèn)識(shí)到并遵守最佳的安全實(shí)踐。
最后,隨著云計(jì)算和容器化技術(shù)的不斷發(fā)展,安全性的挑戰(zhàn)也將日益復(fù)雜。因此,微軟呼吁所有相關(guān)企業(yè)和個(gè)人,持續(xù)關(guān)注最新的安全動(dòng)態(tài)和技術(shù)進(jìn)展,以確保自身的應(yīng)用和服務(wù)始終處于最安全的狀態(tài)。
