2018年黑客入侵了特斯拉在亞馬遜上的Kubernetes容器集群。由于該集群控制臺未設置密碼保護，黑客便得以在一個Kubernetes pod中獲取到訪問憑證，然后據此訪問其網絡存儲桶S3，通過S3獲取到了一些敏感數據，比如遙測技術，并且還在特斯拉的Kubernetes pod中進行挖礦。該事件只是Kubernetes漏洞利用的一個典型案例。

近年來，以Kubernetes為代表的安全編排工具讓企業實現了應用的自動化部署，給企業帶來了巨大的業務收益。但是，和傳統環境下一樣，這些部署也很容易受到黑客和內鬼的攻擊和利用，Kubernetes的安全也因此成為容器使用中重點保護對象。

在討論Kubernetes安全之前，首先讓我們來了解一下Kubernetes的工作流程。

一、Kubernetes工作流程

Kubernetes是一個容器編排工具，可自動執行容器的部署、更新和監控。所有主要的容器管理和云平臺（例如Red Hat OpenShift、Docker EE、Rancher、IBM Cloud、AWS EKS、Azure、SUSE CaaS和Google Cloud）都支持Kubernetes。以下是有關Kubernetes的一些關鍵知識：

主節點。主節點服務器管理著Kubernetes工作節點集群，并在工作節點上部署Pod。

從節點。也稱為工作節點，通常運行應用容器和其他Kubernetes組件，例如agent。

Pod。Kubernetes中的部署和可尋址單位。每個pod都具有自己的IP地址，并且可以包含一個或多個容器（通常是一個）。

服務。服務充當底層Pod的代理，并且可以對不同的Pod進行負載均衡。

系統組件。用于管理Kubernetes集群的關鍵組件包括API服務器、Kubelet和etcd。這些組件都是潛在的攻擊目標。上文所述的特斯拉事件就是攻擊了沒有密碼保護的Kubernetes控制臺來安裝加密挖礦軟件。

在Kubernetes網絡連接中，每個Pod都有自己的可路由IP地址。Kubernetes的網絡插件負責將主機之間的所有請求從內部路由到相應的Pod。可以通過服務、負載均衡或入口控制器來提供對Kubernetes pod的外部訪問請求，Kubernetes會將其路由到適當的pod。

Pod通過這些疊加網絡，也就是“包內之包”相互通信，并進行負載均衡和DNAT來與相應的Pod進行連接。可以使用適當的報頭對數據包進行封裝，將它們發送到相應的目的地，然后在目的地解除封裝。

Kubernetes會動態處理所有這些疊加網絡，因此，監控網絡流量非常困難，確保網絡安全更是難上加難。

對Pod中運行的容器進行攻擊，既可以通過網絡從外部進行，也可以由內鬼在內部進行，例如，黑客通過網絡釣魚攻擊，讓受害者的系統成為內部攻擊的跳板。針對Kubernetes的漏洞和攻擊向量包括：

1. 容器失陷。若存在應用配置錯誤或漏洞，攻擊者就能夠進入容器中，探測網絡、進程控件或文件系統中的弱點。

2. Pod之間未經授權的連接。失陷容器可能會與同一主機或其他主機上的其他正在運行的Pod進行連接，以進行探測或發動攻擊。盡管第3層網絡控件可以將Pod IP地址列入白名單，提供了一些保護，但是只有通過第7層網絡過濾才能檢測到對受信任IP地址的攻擊。

3. Pod的數據滲透。數據竊取通常是使用多種技術組合來完成的，包括在pod中進行反彈shell連接，連接到CC服務器和網絡隧道，從而隱藏機密數據。

二、實時增強Kubernetes的運行時安全

在容器投入生產運行后，保護Kubernetes安全最重要的三個安全向量分別是：主機安全、容器檢查和網絡過濾。

主機安全

如果容器運行所在的主機（例如Kubernetes工作節點）遭到入侵，則可能會導致：

通過提權，實現root用戶權限

竊取用于訪問安全應用或基礎結構的秘鑰

更改集群管理員權限

主機資源損壞或劫持（例如挖礦軟件）

影響關鍵編排工具基礎架構，例如API Server或Docker守護程序

像容器一樣，需要對主機系統的可疑活動進行監控。因為容器可以像主機一樣運行操作系統和應用，所以，需要像監視容器進程和文件系統活動一樣監控主機。總之，綜合進行網絡檢查、容器檢查和主機安全，形成了從多個向量來檢測Kubernetes攻擊的最佳方法。

容器檢查

攻擊經常利用提權和惡意進程來實施或傳播攻擊。Linux內核（如Dirty Cow）、軟件包、庫或應用程序本身的漏洞利用，都可能導致容器被攻擊。

檢查容器進程和文件系統活動并檢測可疑行為是確保容器安全的一個關鍵要素。應該檢測所有可疑進程，例如端口掃描和反向連接或提權。內置檢測和基線行為學習過程應結合在一起，可以根據以前的活動識別異常進程。

如果容器化應用是根據微服務原則設計的，容器中的每個應用功能有限，并且是使用所需的軟件包和庫來構建的，那么，檢測可疑進程和文件系統活動將更加容易和準確。

網絡過濾

容器防火墻是一種新類型的網絡安全產品，可以將傳統的網絡安全技術應用到新的云原生Kubernetes環境中。有不同的方式可以確保容器網絡的安全：

基于IP地址和端口的3/4層過濾。該方法需要制定Kubernetes網絡策略，以動態方式更新規則，在容器部署發生變更和擴容時提供保護。簡單的網絡隔離規則并不能提供關鍵業務容器部署所需的強大監控、日志記錄和威脅檢測功能，僅提供針對未授權連接的某種保護。

Web應用程序防火墻（WAF）攻擊檢測可以使用檢測常見攻擊的方法來保護面向Web的容器（通常是基于HTTP的應用）。但是，這種保護僅限于通過HTTP進行的外部攻擊，而且還缺少內部流量通常所需的多協議過濾。

第7層容器防火墻。具有第7層過濾功能和pod間流量深度數據包檢查功能的容器防火墻可使用網絡應用協議保護容器。這是基于應用程序協議白名單以及對基于網絡的常見應用程序攻擊（例如DDoS、DNS和SQL注入）的內置檢測。容器防火墻還有一個獨特功能，可以將容器進程監控和主機安全納入監控的威脅向量中。

深度數據包檢測（DPI）技術對于容器防火墻中的深度網絡安全至關重要。漏洞利用通常使用可預測的攻擊向量：惡意HTTP請求，或在XML對象中包含可執行shell命令。基于第7層DPI的檢測可以識別這些方法。使用這些技術的容器防火墻可以確定是否應允許每個Pod連接通過，或者確定是否是應該攔截的潛在攻擊。

考慮到容器和Kubernetes聯網模型的動態性，傳統的用于網絡可見性、取證分析的工具可能就不再適用了。簡單的任務（例如進行數據包捕獲，用于調試應用或調查安全事件）也不再那么簡單。需要新的Kubernetes和容器感知工具來執行網絡安全、檢查和取證任務。

確保Kubernetes系統與資源的安全

如果不對Kubernetes進行安全保護，Kubernetes以及基于Kubernetes的管理平臺可能很容易受到攻擊。這些漏洞暴露了容器部署的新攻擊面，很可能被黑客利用。為了保護Kubernetes和管理平臺自身不受攻擊，需要做的一個基本步驟就是正確配置RBAC，確保用戶獲得適當的系統資源。同時，還需要審查和配置以下方面的訪問控制權限。

保護API服務器。為API服務器配置RBAC或手動創建防火墻規則，防止未經授權的訪問。

限制Kubelet權限。為Kubelet配置RBAC，并管理證書輪換以保護Kubelet。

要求對所有外部端口進行身份驗證。查看所有可從外部訪問的端口，并刪除不必要的端口。需要對所需的外部端口進行身份驗證。對于未經身份驗證的服務，則僅限白名單訪問。

限制或刪除控制臺訪問。除非通過正確配置，可以讓用戶通過強密碼或雙因素身份認證進行登錄，否則不允許訪問控制臺/代理。

如前所述，結合功能強大的主機安全，鎖定工作節點，可以保護Kubernetes部署基本架構免受攻擊。但是，還建議使用監控工具來跟蹤對基礎結構服務的訪問，檢測未經授權的連接和潛在攻擊。

我們仍然以特斯拉Kubernetes控制臺漏洞利用為例。在黑客攻陷了工作節點后，就會建立一個外部連接，控制加密貨幣挖礦軟件。對容器、主機、網絡和系統資源進行基于策略的實時監控，可以檢測到可疑進程以及未經授權的外部連接。

三、寫在最后

近年來，越來越多的企業開始加速業務上云的步伐，采用容器化方法將應用遷移到云端。由于 Kubernetes 能夠在一組機器上運行和協調容器化服務，因此，在企業的容器化過程中發揮了重要作用。雖然Kubernetes自身提供了RBAC（基于角色的訪問控制）策略和基礎架構安全功能，但其本身并不是安全工具。在通過Kubernetes進行關鍵業務部署時，需要考慮的一項優先功能就是安全。本文從網絡、容器和主機三個方面介紹了Kubernetes的一些重要安全措施，以免發生特斯拉類似的安全事件。

()

二維碼
分享

×

分享到

×

打賞

總結

以上是生活随笔為你收集整理的青藤云安全“蜂巢之声”：如何避免重演特斯拉Kubernetes容器集群被黑事件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。