压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Kubernetes（又名K8s）是Google開源的容器集群管理系統(tǒng)（谷歌內(nèi)部:Borg），現(xiàn)在由Cloud Native Computing Foundation維護(hù)，旨在幫助提升Docker容器化工作負(fù)載、服務(wù)、應(yīng)用程序的部署、擴(kuò)展和管理的自動(dòng)化程度和便捷性。

Kubernetes通過將應(yīng)用程序容器組織到Pod、節(jié)點(diǎn)（物理機(jī)或虛擬機(jī)）和群集中來實(shí)現(xiàn)此目的，其中多個(gè)節(jié)點(diǎn)形成一個(gè)由主節(jié)點(diǎn)管理的群集，該主節(jié)點(diǎn)負(fù)責(zé)協(xié)調(diào)與群集相關(guān)的任務(wù)，例如擴(kuò)展、調(diào)度或更新應(yīng)用程序。

近日Kubernetes曝出一個(gè)“先天性”中間人攻擊漏洞，Kubernetes產(chǎn)品安全委員會(huì)已經(jīng)發(fā)布了一個(gè)有關(guān)如何暫時(shí)阻止攻擊者利用漏洞的建議，該漏洞可能使攻擊者能夠在中間人（MiTM）攻擊中攔截來自多租戶Kubernetes集群中其他Pod的流量。

受影響的服務(wù)未廣泛部署

曝光的漏洞嚴(yán)重性被評(píng)為“中等”，CVE編號(hào)為CVE-2020-8554，是一個(gè)影響所有Kubernetes版本的設(shè)計(jì)缺陷。

蘋果公司負(fù)責(zé)Kubernetes安全的軟件工程師Tim Allclair解釋說：“如果潛在的攻擊者已經(jīng)可以在集群中創(chuàng)建或編輯服務(wù)和Pod，那么他們就可以攔截集群中其他Pod（或節(jié)點(diǎn)）的流量。”

“如果使用任意外部IP創(chuàng)建服務(wù)，則從群集內(nèi)部到該外部IP的流量將被路由到該服務(wù)。”Allclair補(bǔ)充說。“這使攻擊者有權(quán)使用外部IP創(chuàng)建服務(wù)，以攔截到任何目標(biāo)IP的流量。”

幸運(yùn)的是，由于外部IP服務(wù)未在多租戶群集中廣泛使用，并且不建議為租戶用戶授予LoadBalancer IP補(bǔ)丁服務(wù)/狀態(tài)權(quán)限，因此該漏洞只會(huì)影響少數(shù)Kubernetes部署。

據(jù)Anevia公司的Etienne Champetier報(bào)告，利用該漏洞可以被攻擊者遠(yuǎn)程利用，而無需用戶參與，可以作為低復(fù)雜度攻擊的一部分。

如何緩解CVE-2020-8554漏洞

由于Kubernetes開發(fā)團(tuán)隊(duì)尚未提供安全更新來解決此問題，建議管理員通過限制對(duì)易受攻擊功能的訪問來緩解CVE-2020-8554。

您可以使用準(zhǔn)入webhook容器來限制外部IP使用，此處（https://github.com/kubernetes-sigs/externalip-webhook）提供了源代碼和部署說明。

還可以使用此處（https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip）提供的模板，在Kubernetes的開放策略代理關(guān)守策略控制器的幫助下限制外部IP。

由于推薦的配置不容易受到攻擊，因此未提供針對(duì)LoadBalancer IP的緩解措施，但是如果需要限制，則外部IP建議也適用于LoadBalancer IP。

要想檢測(cè)嘗試?yán)么寺┒吹墓簦脩舯仨毷褂靡资芄舻墓δ苁謩?dòng)審核多租戶群集中外部IP使用情況。

“外部IP服務(wù)并未得到廣泛使用，因此我們建議手動(dòng)審核任何外部IP使用情況。”Allclair說。“用戶不應(yīng)對(duì)服務(wù)狀態(tài)進(jìn)行修補(bǔ)，因?yàn)閷?duì)于已通過用戶身份驗(yàn)證的補(bǔ)丁服務(wù)狀態(tài)請(qǐng)求的審核事件可能會(huì)令人懷疑。”