這些Kubernetes常見安全問題，你遇到過幾個？

該報告建議已部署Kubernetes的IT組織在使用AWS Elastic Kubernetes Service（EKS）時應(yīng)解決以下問題：

網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計服務(wù)團隊是一支充滿著熱情的團隊，執(zhí)著、敏銳、追求更好，是創(chuàng)新互聯(lián)的標準與要求，同時竭誠為客戶提供服務(wù)是我們的理念。創(chuàng)新互聯(lián)建站把每個網(wǎng)站當(dāng)做一個產(chǎn)品來開發(fā)，精雕細琢，追求一名工匠心中的細致，我們更用心！

一些EKS負載平衡器的孤立安全組：充當(dāng)EKS入口控制器的負載平衡器被分配了默認安全組。90天后，AWS會自動清除這些權(quán)限。

但是，Threat Stack建議組織在不使用負載平衡器后應(yīng)主動刪除它們。

多租戶EKS網(wǎng)絡(luò)不匹配：EKS集群將Amazon VPC CNI插件用于Kubernetes，從而使其能夠代表AWS虛擬私有云（VPC）上的Pod。

報告發(fā)現(xiàn)，這還不足以支持Kubernetes網(wǎng)絡(luò)策略，除非組織還部署了Calico網(wǎng)絡(luò)虛擬化軟件實例。

由于容器網(wǎng)絡(luò)接口（CNI）插件如何映射到AWS彈性網(wǎng)絡(luò)接口（ENI），因此CNI每個節(jié)點只能支持一個安全組。

威脅堆棧警告說，當(dāng)EKS在同一節(jié)點上調(diào)度不相關(guān)的吊艙時，這可能會產(chǎn)生問題。

入侵者使用aws-iam-authenticator進行EKS偵查：可疑用戶已將用于通過身份訪問管理（IAM）憑據(jù)訪問EKS群集的合法aws-iam-authenticator工具下載到EKS容器中的/ tmp目錄中。

然后，用戶使用AWS CLI訪問EKS信息以進一步探查集群。

Threat Stack首席安全官Sam Bisbee說，對于Kubernetes而言，大多數(shù)云服務(wù)提供商采用的網(wǎng)絡(luò)安全分擔(dān)責(zé)任方法尤其具有挑戰(zhàn)性。

大多數(shù)IT團隊假定他們負責(zé)保護云應(yīng)用程序，而云服務(wù)提供商則保護基礎(chǔ)架構(gòu)。

但是，當(dāng)涉及到諸如Kubernetes之類的容器平臺時，網(wǎng)絡(luò)安全責(zé)任仍然沒有得到精確定義。

結(jié)果，這些不確定性可能會拖累Kubernetes集群在生產(chǎn)環(huán)境中的部署速度。

這都不意味著Kubernetes不會部署在云中。Kubernetes服務(wù)是云計算中增長最快的服務(wù)之一。

但是，由于越來越多的生產(chǎn)應(yīng)用程序開始部署到這些服務(wù)上，因此網(wǎng)絡(luò)安全團隊開始對這些服務(wù)進行越來越嚴格的審查。

Bisbee說，挑戰(zhàn)當(dāng)然是容器化應(yīng)用程序的行為與傳統(tǒng)的整體式應(yīng)用程序非常不同，傳統(tǒng)的整體式應(yīng)用程序需要網(wǎng)絡(luò)安全團隊了解時間。

Bisbee指出，總的來說，采用最佳DevSecOps實踐的組織在云中的Kubernetes集群上部署應(yīng)用程序的趨勢通常要比未采用云安全性的組織高。

網(wǎng)絡(luò)安全專業(yè)人員可能完全不熟悉容器化應(yīng)用程序可能需要一段時間。

從理論上講，容器化的應(yīng)用程序更安全，因為替換具有漏洞的容器要比修補整體應(yīng)用程序容易得多。

當(dāng)然，問題在于，鑒于容器安全專業(yè)知識的復(fù)雜性和相對缺乏，存在很多犯錯的機會。

新聞標題：這些Kubernetes常見安全問題，你遇到過幾個？
分享URL：http://m.jiaotiyi.com/article/ihsihd.html