Američka agencija za nacionalnu bezbednost NSA, zajedno sa Agencijom za sajber bezbednost i infrastrukturnu bezbednost (CISA), objavila je ažurirani vodič za bezbednost Kubernetes klastera.
Novo izdanje je ažurirani bezbednosni vodič za Kubernetes koji su objavile NSA i CISA prošlog avgusta.
Sadrži dodatne detalje i objašnjenja zasnovana na povratnim informacijama zajednice, kao i detaljnije informacije o otkrivanju pretnji.
Neka od ažuriranja su veoma mala, ali veoma važna za profesionalce koji se bave bezbednošću Kubernetes klastera.
Ključne tačke originalnog priručnika ostale su nepromenjene.
Kubernetes bezbednost se razmatra u kontekstu tipičnog dizajna klastera koji uključuje kontrolnu tablu, radne čvorove (za pokretanje kontejnerskih aplikacija) i module za kontejnere smeštene na tim čvorovima.
Ovi klasteri se često hostuju u cloudu, ili čak u više cloud-a na AWS, Azure, Google-u i Linode-u.
Kao što su primetili NSA i CISA, Kubernetes je obično podložan krađi podataka, krađi računarske snage (CPU) ili napadima uskraćivanja servisa.
Istorijski gledano, ranjivosti u Kubernetes-u i različite zavisnosti, kao i pogrešne konfiguracije, koristili su napadači za postavljanje kriptomajnera u infrastrukturu žrtvi.
Pored toga, Kubernetes je u opasnosti od napada na lanac snabdevanja jer klasteri obično imaju zavisnosti od softvera i hardvera trećih strana.
Pored rizika u lancu snabdevanja, Kubernetes je takođe izložen spoljnim i unutrašnjim pretnjama, kao što je kada radna opterećenja kojima ne upravlja dati klaster dele istu fizičku mrežu. U ovom slučaju, radno opterećenje može da pristupi komponentama kubeleta i kontrolne table, kao što je API server.
Zbog toga, NSA i CISA preporučuju izolaciju na nivou mreže.
Ovaj dokument daje savete o tome kako da postignete snažnu izolaciju radnog opterećenja između podova koji rade na istom čvoru u klasteru, s obzirom da Kubernetes ne garantuje takvo razdvajanje kao podrazumevano.
Takođe se preporučuje redovan pregled Kubernetes podešavanja i skeniranje na ranjivosti.
Napišite komentar