美國NSA與CISA發布《Kubernetes強化指南》

美國NSA與CISA發布《Kubernetes強化指南》

美國國安局(NSA)與網路安全暨基礎架構安全署(CISA)本周共同發表了一份名為《Kubernetes強化指南》(Kubernetes Hardening Guidance)的網路安全技術報告,詳述了Kubernetes環境潛藏的安全威脅,並提供了相關配置的指引,以儘可能地降低其安全風險。

Kubernetes(K8s)為一開源系統,能夠自動化地部署、擴展與管理於容器中運作的應用程式。根據紅帽今年的調查,有多達88%的客戶採用了Kubernetes,當中更有74%將Kubernetes應用於生產環境中。在部署Kubernetes的組織中,有26%只在自家的資料中心部署,有28%只部署於公有雲,比例最高的是有47%同時在自家資料中心及公有雲部署Kubernetes。

不過,儘管Kubernetes如此熱門,在紅帽的調查裡,那些尚未於生產環境中部署Kubernetes的受訪者中,有超過一半是因為安全問題而延後部署,且幾乎所有的受訪者在去年,都曾經歷至少一次的Kubernetes安全意外。

NSA與CISA適時發表的《Kubernetes強化指南》剛好可用來作為部署Kubernetes的安全參考。該報告指出,Kubernetes最常被攻擊的三大原因分別是竊取資料、竊取運算資源,以及服務阻斷,其中,駭客最常覬覦的是Kubernetes環境中的資料,只是也會企圖利用Kubernetes的底層運算架構,來執行諸如開挖加密貨幣等惡意行為。

因此,這兩個肩負美國資安的單位建議組織應該要定期掃描容器與容器組(Pod)的安全漏洞,或者檢查是否配置錯誤,並以所需的最低權限來執行容器與容器組,也建議隔離網路,採用防火牆,執行嚴格的身分認證,並稽核紀錄。

NSA與CISA亦呼籲各大組織遵循《Kubernetes強化指南》,也應即時更新版本或修補漏洞,儘可能地減少Kubernetes環境中的安全威脅。


文章來源:iThome