Kubernetes應用中必須避免的七個基本錯誤

當企業創建或使用云上應用系統時，大多都需要使用Kubernetes。據云原生計算基金會（CNCF） 最近的一份報告顯示，Kubernetes在全球已擁有近600萬個企業用戶，成為云上應用程序主要的部署模式。

隨著Kubernetes平臺上的敏感數據越來越多，其被攻擊的風險就越大。要實現Kubernetes平臺的完整安全措施需要一個系統化的建設過程，但研究人員發現，在Kubernetes應用產生的安全問題中，超過9成都是由于非常基礎的原因所引發，本來是可以被避免的。本文梳理總結了Kubernetes應用中的七個最常見基礎性安全錯誤。

1、默認配置未修改

研究人員發現，許多組織都在使用默認的集群配置，并且未引起重視，這是個非常嚴重的錯誤。盡管Kubernetes的默認設置為開發人員賦予了較大的靈活性和敏捷性，但是卻沒有考慮安全防護層面的需求。默認配置在面對非法攻擊時會變得非常脆弱。為了保護Kubernetes上應用數據的安全，企業必須確保對集群配置的合理性和安全性，以獲得更充分的安全防護能力。

2、管理員權限混亂

為了應用方便，很多組織的開發人員可以輕易的使用CLUSTER_ADMIN（集群管理員）之類特權賬號對集群執行日常操作，這種方式顯然是錯誤的。特權賬號應該僅用于管理其他角色和用戶，當多個開發者都可以擁有CLUSTER_ADMIN級別的訪問權限時，也意味著黑客可以更加輕松的獲得訪問權限，他們可以通過這些高級賬戶非法進入Kubernetes上的系統，進而全面訪問整個集群中的數據資源。

3、過度的訪問授權

并非每個開發人員都需要全面訪問所有資源才能完成其工作，但實際上，許多企業的管理員卻沒有對開發人員訪問dev/stage/prod集群的權限類型予以適度的管理和限制。允許開發人員不受限制地訪問資源是一種非常糟糕的做法。與設有多個管理員相似，這個錯誤很容易就會被黑客探測并利用，他們可以使用這種不受限制的訪問權限在貴組織的系統中橫向移動，并且大量的竊取或破壞資源。

4、未有效的實現應用隔離

隔離是Kubernetes平臺的一種天然屬性，可以通過命名空間來實現對象隔離。但是許多企業組織想當然地以為集群網絡與云虛擬專用網（VPC）都會被有效的進行隔離，但事實并不是這樣。企業在Kubernetes應用中，不能忽視保護集群網絡中的應用系統，并對重要業務系統及數據實現隔離防護。

5、未檢測導入YAML的安全隱患

Kubernetes可以支持YAML和JSON格式創建資源對象，JSON格式用于接口之間消息的傳遞，適用于開發；YAML格式用于配置和管理，適用于云平臺管理。YAML是一種簡潔的非標記性語言，導入公共YAML盡管可以避免重復性工作，節省時間，但也同樣會將錯誤配置引入到企業環境中。因此企業在引入公共YAML時，需要充分檢測并評估其帶來的安全影響，并確保可以解決配置過程中可能存在的安全性問題。

6、將機密數據存儲在ConfigMap中

機密數據主要包括密碼、令牌或密鑰之類的敏感數據。由于疏忽或者使用的方便，開發人員經常會將一些機密信息存儲在ConfigMap中，從而增加了這些敏感數據的暴露風險。ConfigMap是一種API對象，通常只用來保存非機密性數據，它可以讓用戶將針對特定環境的配置與容器鏡像分離，以便應用程序易于移植。但是由于缺乏保護，黑客同樣有機會訪問ConfigMap，因此也能夠訪問保存在其中相關資源。

7、沒有定期開展安全掃描

在軟件開發生命周期（SDLC）和持續集成/持續交付（CI/CD）管道的早期階段執行定期掃描，以查找錯誤配置和漏洞，這有助于杜絕這些問題進入到生產環境的可能性。但現實中，許多組織都沒有這樣的安全計劃或缺少行動。從攻擊成本角度看，黑客通常會尋找最省事的攻擊目標。因此，企業首先要確保自己不是保護最乏力的組織，這樣就可以減少成為被攻擊目標的可能性。開展日常性的安全漏洞檢查并且有效落實，正是一種快速提升安全能力的有效途徑。