DevOps

NSA i CISA ažurirali bezbednosni vodič za Kubernetes

NSA i CISA ažurirali bezbednosni vodič za Kubernetes

Američka agencija za nacionalnu bezbednost NSA, zajedno sa Agencijom za sajber bezbednost i infrastrukturnu bezbednost (CISA), objavila je ažurirani vodič za bezbednost Kubernetes klastera.

Novo izdanje je ažurirani bezbednosni vodič za Kubernetes koji su objavile NSA i CISA prošlog avgusta.
Sadrži dodatne detalje i objašnjenja zasnovana na povratnim informacijama zajednice, kao i detaljnije informacije o otkrivanju pretnji.

Neka od ažuriranja su veoma mala, ali veoma važna za profesionalce koji se bave bezbednošću Kubernetes klastera.
Ključne tačke originalnog priručnika ostale su nepromenjene.

Kubernetes bezbednost se razmatra u kontekstu tipičnog dizajna klastera koji uključuje kontrolnu tablu, radne čvorove (za pokretanje kontejnerskih aplikacija) i module za kontejnere smeštene na tim čvorovima.
Ovi klasteri se često hostuju u cloudu, ili čak u više cloud-a na AWS, Azure, Google-u i Linode-u.

Kao što su primetili NSA i CISA, Kubernetes je obično podložan krađi podataka, krađi računarske snage (CPU) ili napadima uskraćivanja servisa.
Istorijski gledano, ranjivosti u Kubernetes-u i različite zavisnosti, kao i pogrešne konfiguracije, koristili su napadači za postavljanje kriptomajnera u infrastrukturu žrtvi.
Pored toga, Kubernetes je u opasnosti od napada na lanac snabdevanja jer klasteri obično imaju zavisnosti od softvera i hardvera trećih strana.

Pored rizika u lancu snabdevanja, Kubernetes je takođe izložen spoljnim i unutrašnjim pretnjama, kao što je kada radna opterećenja kojima ne upravlja dati klaster dele istu fizičku mrežu. U ovom slučaju, radno opterećenje može da pristupi komponentama kubeleta i kontrolne table, kao što je API server.
Zbog toga, NSA i CISA preporučuju izolaciju na nivou mreže.

Ovaj dokument daje savete o tome kako da postignete snažnu izolaciju radnog opterećenja između podova koji rade na istom čvoru u klasteru, s obzirom da Kubernetes ne garantuje takvo razdvajanje kao podrazumevano.

Takođe se preporučuje redovan pregled Kubernetes podešavanja i skeniranje na ranjivosti.

Napišite komentar