CISA發布Kubernetes強化測試工具

本月初，美國國家安全局 (NSA) 和美國網絡安全與基礎設施安全局 (CISA)發布了《Kubernetes強化指南》。該指南詳細介紹了加強Kubernetes系統的建議，并提供了配置指南以最大限度地降低風險。主要操作包括掃描容器和Pod是否存在漏洞或錯誤配置，以盡可能低的權限運行容器和 Pod，以及如何使用網絡分離、防火墻、強身份驗證和日志審計。

為了保障指南的有效落地，CISA日前發布了與指南配套的測試工具——Kubescape，該工具基于OPA引擎和ARMO的姿態控制，可用于測試Kubernetes是否遵循NSA和CISA強化指南中定義的安全部署。用戶可使用Kubescape測試集群或掃描單個YAML文件并將其集成到流程中。

Kubescape測試內容如下：

• 非根容器
• 不可變容器文件系統
• 特權容器
• hostPID、hostIPC 權限
• 主機網絡訪問
• allowedHostPaths字段
• 保護pod服務帳戶令牌
• 資源政策
• 控制平面強化
• 外露儀表板
• 允許權限提升
• 配置文件中的應用程序憑據
• 集群管理員綁定
• 執行到容器
• 危險能力
• 不安全的能力
• Linux加固
• 入口和出口被阻止
• 容器主機端口
• 網絡政策

據了解，Kubernetes是一個應用較廣泛的開源系統，可自動部署、擴展和管理在容器中運行的應用程序，通常托管在云環境中，并提供比傳統軟件平臺更高的靈活性。

針對Kubernetes的攻擊通常為數據竊取、計算力竊取或拒絕服務。一般來說，數據盜竊是主要動機。然而，攻擊者也可能會嘗試使用Kubernetes來利用網絡的底層基礎設施來竊取計算力，以實現加密貨幣挖礦等目的。