《张晋涛-生产环境下的k8s安全困境及应对措施-张晋涛(GOTC上海会场)(26页).pdf》由会员分享,可在线阅读,更多相关《张晋涛-生产环境下的k8s安全困境及应对措施-张晋涛(GOTC上海会场)(26页).pdf(26页珍藏版)》请在三个皮匠报告上搜索。
1、开源云原生计算时代论坛专场张晋涛 2021年07月10日本期议题:生产环境下的 K8K 安全困境及应对措施个人介绍张晋涛支流科技Apache APISIX committerKubernetes ingress-nginx reviewercontainerd/Docker/Helm/Kubernetes/KIND contributorK8S 生态周报的维护者https:/ CI/CD容器技术的优势容器技术的弊端隔离性不足共享内核K8S环境下的安全挑战攻击面增加供应链攻击权限提升网络安全资源安全数据安全组件安全运行时安全K8S环境下的安全挑战K8S自身组件底层容器运行时攻击面增加 CVE-2
2、019-11253:发送大型YAML/JSON对kube-apiserver DoS K8S环境下安全问题的应对方式定义边界kube-apiserver 放在 LB 后,或者不暴露在公网Node 禁止 SSH 最小化权限攻击面增加K8S环境下的安全挑战不易生成 SBOM(软件材料清单)恶意容器镜像镜像内软件漏洞供应链攻击图源:https:/nishakm.github.io/code/metadata/K8S环境下安全问题的应对方式使用可信基础镜像(Docker官方镜像)及时更新不安装debug工具Distroless镜像漏洞扫描DevSecOps供应链攻击K8S环境下的安全挑战RBAC不合理
3、(各种 controller/operator 中常见)进入 Pod 内可操作 API基础软件提权权限提升K8S环境下安全问题的应对方式RBAC 配置review如何开启 audit logaudit-log-pathaudit-policy-file权限提升K8S环境下安全问题的应对方式Audit log 可记录操作行为,响应状态码,UA,时间等authorization.k8s.io/reason:说明了 RBAC 规则决策的原因权限提升K8S环境下的安全挑战恶意访问容器身份未标识链接未加密外层网关提供入口保护(南北向流量)网络安全K8S环境下安全问题的应对方式使用NetworkPolic
4、y控制进出流量规则网络安全Network Policy Editor:https:/editor.cilium.io/0K8S环境下安全问题的应对方式service meshmTLS东西向流量网络安全K8S环境下的安全挑战资源超售过度征用资源OOM驱逐资源安全K8S环境下安全问题的应对方式为 namespace设置 Limit Range设置 request 和 limit合理的 QoSGuaranteedBurstableBestEffort资源安全K8S环境下的安全挑战Secrets not secretBase64 编码etcd 中数据可获取数据安全K8S环境下安全问题的应对方式Kube
5、rnetes Secrets Store CSI Driverkubernetes-sigs/secrets-store-csi-driver支持多种密钥存储供应商AWSAzureGCPVault数据安全K8S环境下的安全挑战CVE 漏洞及 POC配置不规范直接暴露在公网匿名访问组件安全K8S环境下安全问题的应对方式关注CVE漏洞及 POC及时升级或绕过漏洞不直接暴露在公网或增加认证关闭匿名访问组件安全K8S环境下的安全挑战恶意操作被攻击非预期行为未解决的漏洞不安全配置用户证书泄漏运行时安全K8S环境下安全问题的应对方式Falco运行时安全K8S环境下安全问题的应对方式Kubernetes Security Profiles Operatorseccomp is GA权限最小化运行时安全总结权限最小化使用 Apache APISIX 等LB提供边界安全 及时关注安全漏洞和更新优化配置关注日志K8S生态周报https:/