這些Kubernetes常見安全問題，你遇到過幾個(gè)？

該報(bào)告建議已部署Kubernetes的IT組織在使用AWS Elastic Kubernetes Service（EKS）時(shí)應(yīng)解決以下問題：

一些EKS負(fù)載平衡器的孤立安全組：充當(dāng)EKS入口控制器的負(fù)載平衡器被分配了默認(rèn)安全組。90天后，AWS會(huì)自動(dòng)清除這些權(quán)限。

但是，Threat Stack建議組織在不使用負(fù)載平衡器后應(yīng)主動(dòng)刪除它們。

多租戶EKS網(wǎng)絡(luò)不匹配：EKS集群將Amazon VPC CNI插件用于Kubernetes，從而使其能夠代表AWS虛擬私有云（VPC）上的Pod。

報(bào)告發(fā)現(xiàn)，這還不足以支持Kubernetes網(wǎng)絡(luò)策略，除非組織還部署了Calico網(wǎng)絡(luò)虛擬化軟件實(shí)例。

由于容器網(wǎng)絡(luò)接口（CNI）插件如何映射到AWS彈性網(wǎng)絡(luò)接口（ENI），因此CNI每個(gè)節(jié)點(diǎn)只能支持一個(gè)安全組。

威脅堆棧警告說，當(dāng)EKS在同一節(jié)點(diǎn)上調(diào)度不相關(guān)的吊艙時(shí)，這可能會(huì)產(chǎn)生問題。

入侵者使用aws-iam-authenticator進(jìn)行EKS偵查：可疑用戶已將用于通過身份訪問管理（IAM）憑據(jù)訪問EKS群集的合法aws-iam-authenticator工具下載到EKS容器中的/ tmp目錄中。

然后，用戶使用AWS CLI訪問EKS信息以進(jìn)一步探查集群。

Threat Stack首席安全官Sam Bisbee說，對(duì)于Kubernetes而言，大多數(shù)云服務(wù)提供商采用的網(wǎng)絡(luò)安全分擔(dān)責(zé)任方法尤其具有挑戰(zhàn)性。

大多數(shù)IT團(tuán)隊(duì)假定他們負(fù)責(zé)保護(hù)云應(yīng)用程序，而云服務(wù)提供商則保護(hù)基礎(chǔ)架構(gòu)。

但是，當(dāng)涉及到諸如Kubernetes之類的容器平臺(tái)時(shí)，網(wǎng)絡(luò)安全責(zé)任仍然沒有得到精確定義。

結(jié)果，這些不確定性可能會(huì)拖累Kubernetes集群在生產(chǎn)環(huán)境中的部署速度。

這都不意味著Kubernetes不會(huì)部署在云中。Kubernetes服務(wù)是云計(jì)算中增長最快的服務(wù)之一。

但是，由于越來越多的生產(chǎn)應(yīng)用程序開始部署到這些服務(wù)上，因此網(wǎng)絡(luò)安全團(tuán)隊(duì)開始對(duì)這些服務(wù)進(jìn)行越來越嚴(yán)格的審查。

Bisbee說，挑戰(zhàn)當(dāng)然是容器化應(yīng)用程序的行為與傳統(tǒng)的整體式應(yīng)用程序非常不同，傳統(tǒng)的整體式應(yīng)用程序需要網(wǎng)絡(luò)安全團(tuán)隊(duì)了解時(shí)間。

Bisbee指出，總的來說，采用最佳DevSecOps實(shí)踐的組織在云中的Kubernetes集群上部署應(yīng)用程序的趨勢(shì)通常要比未采用云安全性的組織高。

網(wǎng)絡(luò)安全專業(yè)人員可能完全不熟悉容器化應(yīng)用程序可能需要一段時(shí)間。

從理論上講，容器化的應(yīng)用程序更安全，因?yàn)樘鎿Q具有漏洞的容器要比修補(bǔ)整體應(yīng)用程序容易得多。

當(dāng)然，問題在于，鑒于容器安全專業(yè)知識(shí)的復(fù)雜性和相對(duì)缺乏，存在很多犯錯(cuò)的機(jī)會(huì)。