2019年1月，世界上最流行的容器編排系統Kubernetes發現了第一個嚴重的安全漏洞，該漏洞影響了項目的生態系統。漏洞CVE-2018-1002105允許攻擊者通過Kubernetes API服務器破壞群集，該服務器允許執行惡意代碼以安裝惡意軟件等。早些時候，Kubernetes控制面板的錯誤配置導致在Tesla資源上安裝了加密貨幣挖掘軟件。然后，攻擊者利用了Kubernetes面板之一不受密碼保護的事實，這使他們可以使用一個帳戶訪問其中一個Pod來訪問AWS中更大的Tesla基礎架構。

加快容器及其編排的實施速度的組織還需要采取強制性步驟來保護其基礎架構的這一關鍵部分。以下是基于客戶數據的九種Kubernetes最佳安全實踐。跟隨他們以更好地保護您的基礎架構。

　　1.更新到最新版本

[Kubernetes]的每個季度發行版中不僅有錯誤修復，而且還提供新的安全功能。要利用它們，我們建議使用最新的穩定版本。

更新和支持可能比發行版中提供的新功能困難，因此，至少每季度計劃一次更新?？梢允褂猛泄艿腒ubernetes解決方案的提供程序來顯著簡化更新。

　　2.啟用基于角色的訪問控制（RBAC）

使用RBAC來控制誰可以訪問Kubernetes API以及他們具有哪些權限。通常，在Kubernetes 1.6版及更高版本中，默認情況下會啟用RBAC，但是如果此后進行了更新且未更改配置，則應仔細檢查設置。

但是，啟用RBAC是不夠的-仍然需要有效地使用它。在一般情況下，應避免對整個群集的權限，而應優先考慮某些命名空間中的權限。即使在調試時也要避免給集群管理員特權-僅在必要時不時授予權限更為安全。

如果應用程序需要訪問Kubernetes API，請創建單獨的服務帳戶。并為他們提供每個用例所需的最少權限。這種方法比給名稱空間中的默認帳戶過多的特權要好得多。

　　3.使用名稱空間設置安全邊界

創建單獨的名稱空間對于組件隔離的第一級很重要。當不同類型的工作負載部署在單獨的名稱空間中時，調整安全設置要容易得多。

　　4.分離敏感的工作負載

限制危害的潛在后果的一種好的做法是在一組專用的計算機上運行帶有敏感數據的工作負載。這種方法降低了安全性較低的應用程序使用敏感數據訪問該應用程序的風險，該敏感數據運行在同一容器可執行環境或同一主機上。例如，受感染節點的kubelet通常僅在將秘密內容安裝在計劃在同一節點上執行的Pod上時才可以訪問秘密內容。如果可以在多個群集節點上找到重要機密，則攻擊者將有更多機會來獲取這些機密。

可以使用節點池以及Kubernetes控制機制來完成分離。

　　5.保護對云服務元數據的訪問

敏感的元數據-例如kubelet管理憑據，可能會被盜用或出于惡意目的升級集群中的特權。例如，Shopify的漏洞賞金計劃中的一項最新發現詳細顯示了用戶如何通過使用特定于微服務之一的特殊生成數據從云提供商接收元數據來超越權限。

GKE元數據隱藏功能以避免此類問題的方式更改了部署群集的機制。我們建議在實施永久解決方案之前使用它。

　　6.創建和定義群集網絡策略

網絡策略-允許您控制進出容器化應用程序對網絡的訪問。要使用它們，您必須具有支持此類資源的網絡提供商。對于托管的Kubernetes解決方案提供商。

一旦一切就緒，就從簡單的默認網絡策略開始-例如，阻止來自其他名稱空間的流量。

　　7.設置集群的Pod安全策略

Pod安全策略設置用于啟動集群中工作負載的默認值?？紤]定義策略并啟用Pod安全策略準入控制器：這些步驟的說明會根據所使用的云提供商或部署模型而有所不同。

開始時，您可能希望禁用容器中的NET_RAW功能，以保護自己免受某些類型的欺騙攻擊。

　　8.開展節點安全性工作

要提高主機安全性，您可以按照以下步驟操作：

確保安全且正確地配置了主機。一種方法是CIS基準測試；許多產品都有自動檢查器，可以自動檢查系統是否符合這些標準。

監視重要端口的網絡可用性。確保網絡禁止訪問kubelet使用的端口，包括10250和10255。考慮限制對Kubernetes API服務器的訪問，受信任的網絡除外。在不需要在kubelet API中進行身份驗證和授權的集群中，攻擊者通常會訪問此類端口以啟動加密貨幣礦工。

最小化對Kubernetes主機的管理訪問原則上應該限制對群集節點的訪問：通常，對于調試和解決其他問題，您可以在不直接訪問節點的情況下進行。

　　9.啟用審核日志記錄

確保已啟用審核日志，并且正在監視其中的異?；虿恍枰腁PI調用的發生，尤其是在任何授權失敗的情況下-此類條目將帶有一條消息，顯示為“禁止”狀態。授權失敗可能意味著攻擊者試圖利用獲得的憑據。

托管解決方案提供商可以在其界面中訪問此數據，并可以幫助您在授權失敗的情況下設置通知。

以上就是關于2020年Kubernetes的9大網絡安全實踐的全部內容，想了解更多關于網絡安全的信息請繼續關注中培偉業。