美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了一份名为《Kubernetes 强化指南》的联合文件。Kubernetes 是一个开源编排系统,在云环境中,它依赖于容器自动化应用程序的部署、扩展和管理。根据RedHat最新的 Kubernetes 安全状况报告,超过一半接受调查的安全专业人员表示,由于安全原因,他们推迟了将 Kubernetes 应用程序部署到生产环境中。
此外,几乎所有的安全受访者都表示,在过去的一年里,他们的 Kubernetes 环境发生了一次安全事件。在围绕 Kubernetes 的安全问题的探讨时,59% 的受访者表示他们最担心的是未解决的安全性和遵从性需求对容器的威胁。
向云环境的快速转变,尤其是自大流行出现以来,无疑加剧了这些安全问题。因此,NSA 和 CISA 认为有必要帮助组织处理容器化环境中的安全问题,容器化环境比“传统的、单一的软件平台”更复杂。尽管这些机构为国家安全系统和关键基础设施的系统管理员量身定制了指南,但是他们也鼓励联邦和州、地方、部落和领土 (SLTT) 政府网络的管理员实施这些建议。
在 Kubernetes 架构中,集群由控制平面和一台或多台称为工作节点的物理或虚拟机组成,它们托管包含一个或多个容器的 pod。容器包含软件包及其所有依赖项。
联合指南表示,虽然 Kubernetes 一直是恶意行为者窃取数据的目标,但威胁行为者越来越多地被 Kubernetes 系统所吸引,以窃取其计算能力,通常用于加密货币。
三个主要对Kubernetes构成的威胁
该文档阐明了 Kubernetes 集群的以下三个最可能的威胁:
供应链风险,在多个层面构成危险
恶意威胁参与者可以利用架构公开的多个 API
来自具有提升特权或特殊知识的参与者的内部威胁
这份长达 59 页的文档详细说明了 Kubernetes 的结构,从称为 pod 的最小单元(由一个或多个容器组成)一直到集群网络。此外,它还包含强化策略,以避免常见的错误配置,并指导系统管理员和开发人员如何部署 Kubernetes。联合指南还提供了推荐的强化措施和缓解措施的示例配置。
七项广泛的 Kubernetes 强化建议
联合指南建议管理员:
扫描容器和 Pod 是否存在漏洞或错误配置。
以尽可能少的权限运行容器和 pod。
使用网络分离来控制可能造成的损害程度。
使用防火墙限制不需要的网络连接和加密以保护机密性。
使用强身份验证和授权来限制用户和管理员访问并限制攻击面。
使用日志审核,以便管理员可以监控活动并就潜在的恶意活动收到警报。
定期检查所有 Kubernetes 设置并使用漏洞扫描来帮助预防风险并应用安全补丁。
云提供了虚假的安全感
摩根说:“我们都将云视为我们的 OneDrive 或 Dropbox 或其他任何东西。企业正在将大量数据推送到他们自己的私有云、公共云或亚马逊中,因此很多信息都在异地传输。它不再在组织的引用-不引用保护环境中。”“真正的问题是出于某种原因,当我们放弃某些东西时,我们只是想,'哦,好吧,其他人会照顾它。' 当组织利用基于云的服务来关注安全性时,几乎存在这种错误的安全感。”
Kubernetes 指南试图通过详细解释 Kubernetes 架构的各个组件,并解释如何加强每个组件的安全性来消除这种错误的安全感。摩根说:“这份报告非常重要,因为它们指出,当数据进入云环境时,通常由 Kubernetes 容器提供支持,威胁行为者会追踪你在那里推送的数据。”
NSA-CISA 指导遵循殖民地管道,沙特阿美袭击之后发布的关于为什么 NSA 和 CISA 现在可能会发布这份报告,Morgan 认为,在一系列备受瞩目的破坏性网络安全事件(例如勒索软件攻击 Colonial Pipeline 和沙特阿美公司)之后,他们正在发布有用的信息。
在Kubernetes指南发布近一个月前,美国国家安全局、CISA和联邦调查局发布了一份联合咨询警告,警告俄罗斯威胁分子使用Kubernetes集群发动攻击,尽管这次事件和新指南之间没有明确的联系。根据该公告,至少从 2019 年年中到 2021 年初,俄罗斯总参谋部主要情报局 (GRU) 第 85 主要特别服务中心 (GTsSS) 的军事单位 26165,也称为 APT28 或 Fancy Bear,使用 Kubernetes 集群来对全球数百个政府和私营部门目标进行“广泛、分布式和匿名的暴力访问尝试”。这些机构进一步警告说,这些攻击可能正在进行中。
该活动的目标组织涵盖了广泛的政府和政治组织、国防承包商、能源公司、物流公司、智库、大学、律师事务所和媒体公司。强力能力允许俄罗斯参与者访问受保护的数据,包括电子邮件,并识别他们可以用来获得初始访问、持久性、特权升级和防御规避的有效帐户凭据。
在咨询时,三个机构要求组织采取一系列网络卫生措施,例如双因素身份验证、强密码和零信任安全制度。这些机构还建议组织拒绝来自已知匿名化服务的所有入站活动,例如商业虚拟专用网络和洋葱路由器 (TOR)。(本文出自SCA安全通信联盟,转载请注明出处。)