我在本地和托管 Kubernetes 集群方面工作了七年多。我能说的是,容器已经彻底改变了托管格局!它带来了许多需要复杂设置的设施。拥有多个实例,具有滚动重启、零停机、健康检查等功能。以前真是费时费力...
如何使用Polaris验证你的Kubernetes集群是否遵循了最佳安全实践
关于Polaris Polaris是一款针对Kubernetes的开源安全策略引擎,可以帮助广大研究人员通过验证和修复Kubernetes的资源配置,来审查Kubernetes集群是否遵循了最佳安全实...
K8s安全策略最佳实践
0x00 Referer 个人学习笔记,摘录于 K8s 安全策略最佳实践 - 万宏明 + 互联网 + ChatGPT0x01 K8s 是什么 Kubernetes(k8s)是一个开源的容器...
k8s初始入口漏洞汇总
Api server未授权访问k8s的API Server 默认会开启两个端口:8080 和 6443。如果运维人员配置不当,添加了—enable-skip-login选项,8080端口便可未授权访问...
【建议收藏】一文吃透 K8S 网络模型!
文章来源:https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-modelKubernete...
K8s安全配置:CIS基准与kube-bench工具
01、概述K8s集群往往会因为配置不当导致存在入侵风险,如K8S组件的未授权访问、容器逃逸和横向攻击等。为了保护K8s集群的安全,我们必须仔细检查安全配置。CIS Kubernetes基准提供了集群安...
追踪 Kubernetes 中的 DNS 查询
在过去的文章中,我们曾 追踪过 Kubernetes 中的网络数据包[1],这篇文章将追踪 Kubernetes 中的 DNS 查询。 让我们以在 Pod 中解析 Service 完全限定域名(FQD...
【风险通告】kubernetes kops存在权限提升漏洞(CVE-2023-1943)
漏洞公告 近日,安恒信息CERT监测到kubernetes kops存在权限提升漏洞(CVE-2023-1943),目前技术细节及PoC未公开。在Gossip模式下运行,可以通过节点服务账户凭证来检索...
生产环境 Kubernetes 中出现了很多 Evicted Pod,该怎么办呢?
线上被驱逐实例数据 最近在线上发现很多实例处于 Evicted 状态,通过 pod yaml 可以看到实例是因为节点资源不足被驱逐,但是这些实例并没有被自动清理,平台的大部分用户在操作时看到服务下面出...
【漏洞预警】Kubernetes secrets-store-csi-driver 信息泄露漏洞
漏洞描述:Kubernetes secrets-store-csi-driver 是一个用于 Kubernetes 的 CSI 驱动程序,它提供了一种将外部密钥存储系统中的凭据注入到 Kubernet...
K8s Dashboard未授权访问&后利用
文章前言K8s Dashboard是Kubernetes的一个Web UI,它提供了一个用户友好的界面来管理和监控Kubernetes集群。它可以让用户通过图形化界面查看Kubernetes集群的状态...
如何使用KubeStalk以黑盒视角扫描Kubernetes及相关基础设施攻击面
关于KubeStalk KubeStalk是一款针对Kubernetes的安全扫描工具,在该工具的帮助下,广大研究人员能够以黑盒测试的视角来扫描和检测Kubernetes及其相关...