CISA發(fā)布Kubernetes強(qiáng)化測(cè)試工具
責(zé)編:gltian |2021-09-08 10:29:15
本月初,美國(guó)國(guó)家安全局 (NSA) 和美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布了《Kubernetes強(qiáng)化指南》。該指南詳細(xì)介紹了加強(qiáng)Kubernetes系統(tǒng)的建議,并提供了配置指南以最大限度地降低風(fēng)險(xiǎn)。主要操作包括掃描容器和Pod是否存在漏洞或錯(cuò)誤配置,以盡可能低的權(quán)限運(yùn)行容器和 Pod,以及如何使用網(wǎng)絡(luò)分離、防火墻、強(qiáng)身份驗(yàn)證和日志審計(jì)。
為了保障指南的有效落地,CISA日前發(fā)布了與指南配套的測(cè)試工具——Kubescape,該工具基于OPA引擎和ARMO的姿態(tài)控制,可用于測(cè)試Kubernetes是否遵循NSA和CISA強(qiáng)化指南中定義的安全部署。用戶可使用Kubescape測(cè)試集群或掃描單個(gè)YAML文件并將其集成到流程中。
Kubescape測(cè)試內(nèi)容如下:
- 非根容器
- 不可變?nèi)萜魑募到y(tǒng)
- 特權(quán)容器
- hostPID、hostIPC 權(quán)限
- 主機(jī)網(wǎng)絡(luò)訪問(wèn)
- allowedHostPaths字段
- 保護(hù)pod服務(wù)帳戶令牌
- 資源政策
- 控制平面強(qiáng)化
- 外露儀表板
- 允許權(quán)限提升
- 配置文件中的應(yīng)用程序憑據(jù)
- 集群管理員綁定
- 執(zhí)行到容器
- 危險(xiǎn)能力
- 不安全的能力
- Linux加固
- 入口和出口被阻止
- 容器主機(jī)端口
- 網(wǎng)絡(luò)政策
據(jù)了解,Kubernetes是一個(gè)應(yīng)用較廣泛的開(kāi)源系統(tǒng),可自動(dòng)部署、擴(kuò)展和管理在容器中運(yùn)行的應(yīng)用程序,通常托管在云環(huán)境中,并提供比傳統(tǒng)軟件平臺(tái)更高的靈活性。
針對(duì)Kubernetes的攻擊通常為數(shù)據(jù)竊取、計(jì)算力竊取或拒絕服務(wù)。一般來(lái)說(shuō),數(shù)據(jù)盜竊是主要?jiǎng)訖C(jī)。然而,攻擊者也可能會(huì)嘗試使用Kubernetes來(lái)利用網(wǎng)絡(luò)的底層基礎(chǔ)設(shè)施來(lái)竊取計(jì)算力,以實(shí)現(xiàn)加密貨幣挖礦等目的。
來(lái)源:安全牛
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧