NSA和CISA 联合发布Kubernetes 安全加固指南
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布一份59页的技术报告,提出加固 Kubernetes 集群的安全指南。
Kubernetes 最初由谷歌公司的工程师开发,随后由云原生计算基金会开源,它是当前最流行的容器协作软件。Kubernetes 主要用于基于云的基础设施内部,便于系统管理员使用软件容器部署新的 IT 资源。
然而,由于 Kubernetes 和 Docker 模型和传统的单片软件平台之间存在巨大不同,因此很多系统管理员在安全配置 Kubernetes 方面问题颇多。多年来,多款密币挖掘僵尸网络都在攻击这类配置错误问题。威胁行动者扫描互联网上被暴露的未认证的 Kubernetes 管理功能或者扫描在大型 Kubernetes 集群(如 Argo Workflow 或 Kubeflow)上运行的应用程序,获得对Kubernetes后端的访问权限,之后利用这种权限在受害者云基础设施上部署密币挖掘应用。这些攻击早在2017年初就已发生,而现在已发展为多个团伙为了利用同一个配置错误的集群而“大打出手”。
CISA 和 NSA 发布的这份指南旨在为系统管理员提供关于未来 Kubernetes 配置的安全基线,以避免遭受此类攻击。另外除了基本的配置指南外,这份报告还详述了企业和政府机构可采取的基本缓解措施,阻止或限制 Kubernetes 安全事件的严重性,包括:
扫描容器和 Pods,查找漏洞或配置错误问题。
尽可能以最小权限运行容器和 Pods。
使用网络分割来控制攻陷事件造成的损害。
使用防火墙来限制不必要的网络连接和加密以保护机密性。
使用强认证和授权限制用户和管理员访问权限以及限制攻击面。
使用日志审计,以便管理员能够监控活动并收到关于潜在恶意活动的警报。
定期审计所有的 Kubernetes 设置并使用漏洞扫描确保安全风险得到控制,补丁已应用。
完整指南可见:https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF
推荐阅读
CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击
无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响
原文链接
https://therecord.media/nsa-cisa-publish-kubernetes-hardening-guide/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
NSA和CISA 联合发布Kubernetes 安全加固指南相关推荐
- NSA和CISA联合发布《5G云基础设施安全保护指南》
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国关键基础设施安全局 (CISA) 和美国国家安全局 (NSA) 分享了关于保护云原生5G网络安全的指南. 这两家机构为负责构建和配置5G云基 ...
- 美国CISA联合发布了勒索软件防护指南
近日,美国CISA(国土安全部下属的网络安全和基础设施安全局)和MS-ISAC(州际信息共享和分析中心) 联合发布了勒索软件防护指南,该指南是以客户为中心的一站式资源,提供了最佳实践和预防,保护方法, ...
- 美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 四大开源项目联合发布 腾讯已成Github全球贡献前十公司!
近日在Techo开发者大会上,腾讯正式对四大重点开源项目进行了联合发布,包括分布式消息中间件TubeMQ.基于最主流的 OpenJDK8开发的Tencent Kona JDK.分布式HTAP数据库 T ...
- 美英澳联合发布2020-2021期间遭利用最多的 Top 30漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 澳大利亚.英国和美国的网络安全机构联合发布安全公告,列出了2020年至2021年间遭利用次数最多的安全缺陷. 澳大利亚网络安全中心 (AC ...
- 五眼网络安全机构联合发布事件响应指南
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 位于澳大利亚.加拿大.新西兰.英国和美国的网络安全机构联合发布关于检测恶意活动和事件响应的安全建议. 报告指出,最佳实践事件响应程序始 ...
- 构建第三代人工智能核心能力,清华、阿里、RealAI等联合发布最新AI安全评估平台
科技是发展的利器,也可能成为风险的源头.近日,张钹院士在智源大会上表示,AI的发展带来了科技是发展的利器,也可能成为风险的源头.近日,张钹院士在智源大会上表示,AI的发展带来了新的风险和安全隐患. 在 ...
- 数据科学教育白皮书联合发布!顶级数据人才成长路径
Datawhale原创 联合发布:和鲸科技.腾云大学.AWS.Datawhale 寄语:为什么要加快推进高校的数据科学教育?数据科学的知识体系包括哪些内容?数据科学人才的成长路径及教育方法论?我们希望 ...
- 微软研究院和清华大学联合发布 “开放学术图谱(OAG)2.0版本”
来源:微软研究院AI头条 本文约3000字,建议阅读5分钟. 本文为你介绍了最新发布的开放学术图谱2.0版本. [导 读]开放学术组织(Open Academic Society)是由微软.清华.艾伦 ...
最新文章
- C#ListView控件添加Checkbox复选框并获取选中的数目,检查checkbox是否勾选
- 前端开发大众手册(转)
- oracle 重建em失败,11gr2 EM重建出现问题,求高人指点
- N5-用两个栈来实现一个队列
- python字典定义方式_Python字典常用方法及汇总
- 2021年春季学期期末统一考试 劳动与社会保障法(本) 试题
- Python打印杨辉三角形 RUNOOB python练习题61
- android 底部表格布局TableLayout
- 【Comet OJ - Contest #5 - C】迫真小游戏(优先队列,贪心构造,树,字典序)
- preview窗口 unity_Unity3D在Preview中打印日志的方法
- c语言正确理解以下名词及其含义,C程序作业答案.doc
- Dedecms 最新版漏洞收集并复现学习
- Steady Cow Assignment
- 详解:Sqoop的介绍
- python urllib.parse_Python3 urllib.parse 常用函数示例
- APP微信登录后端PHP,PHP开发微信授权登录教程
- Linux服务器键盘鼠标插口,关于Linux下鼠标键盘
- 怎样学习Peoplesoft -byl vhonglei
- 林轩田机器学习技法(Machine Learning Techniques)笔记(一)
- 一台主机 两台显示器 就可以两个用户同时使用电脑