CSA大中华区现正式发布《Kubernetes安全指南》。该指南参考了Kubernetes官方文档,简要介绍了Kubernetes的主要组件,帮助不熟悉Kubernetes集群的从业人员初步了解其组件及功能。此外,指南基于Kubernetes的技术架构和基本组件,结合ATT&CK模型,深入探讨了Kubernetes平台的攻防技术,并通过攻击矩阵从攻击者的角度列举了Kubernetes可能存在的风险,结合实例使内容更加直观,提供了应对安全挑战的详细分析和防御策略。此指南适合一线安全人员使用。
文末附报告下载方式
指南关注Kubernetes平台的攻防研究。从攻击者的角度追踪现实世界中的使用和出现过的用法,详细描述初始访问--> 执行--> 持久化--> 权限提升--> 防御绕过--> 凭据窃取--> 探测--> 横向移动--> 影响等9类不同战术,并将9类战术中常用的65种技术进行了深入探讨。
指南中整理的Kubernetes ATT&CK攻防矩阵主要包含以下内容:
1
初始访问
-
凭证泄漏
-
Kubeconfig文件
-
使用恶意镜像
-
存在漏洞的应用程序
-
暴露的敏感接口
2
执行
-
在容器内执行
-
创建容器
-
带有SSH 服务的容器
-
应用程序漏洞(RCE)
-
Sidecar 注入
-
使用Service Account连接API Server
3
持久化
-
创建后门容器
-
在已有权限的容器中植入后门
-
Kubernetes 定时任务
-
在自定义镜像中植入后门
-
修改安全配置
-
部署 Shadow API Server
-
创建和已有 Pod名称相似的Pod
4
权限提升
-
利用特权容器提权
-
为普通用户添加高权限
-
为 EKS 添加高权限角色
-
使用容器里挂载的敏感目录逃逸到宿主机
-
利用内核漏洞逃逸到宿主机
-
利用 Docker 漏洞逃逸
-
利用 Kubernetes漏洞进行提权
-
通过泄露的凭证信息提权
5
防御绕过
-
容器日志清理
-
Kubernetes event日志清理
-
部署 Shadow API Server
-
通过匿名网络访问
-
修改请求来源的 UA 头
-
禁用安全产品
-
创建和已有 Pod 名称相似的 Pod
-
Kubernetes 审计日志绕过
-
在云厂商监控区域外进行攻击
6
凭证窃取
-
获取Kubernetes secret
-
获取Kubeconfig
-
访问容器SA
-
利用Kubernetes准入控制器窃取信息
-
不安全的凭证
-
窃取应用程序访问令牌
-
暴力破解
7
探测
-
访问Kubernetes API Server
-
访问Kubelet API
-
访问Kubernetes Dashboard
-
访问云厂商服务接口(实例元数据API)
-
访问私有镜像库
-
通过NodePort访问Service
-
权限组发现
-
网络服务发现
-
容器和资源发现
8
横向移动
-
Kubernetes内网横向访问
-
通过service Account访问KUBERNETES API
-
利用Kubernetes第三方组件横向移动
-
窃取凭证攻击云资源
-
窃取凭证攻击其他应用
-
污点(Taint)横向渗透
-
通过Tiller服务账户进行横向渗透
-
CoreDNS 投毒
9
影响
-
数据销毁
-
资源劫持
-
端点拒绝服务
-
网络拒绝服务
-
阻止系统恢复
-
数据窃取
指南图文并茂展示了真实的攻击场景,详细介绍了攻击者利用Kubernetes组件漏洞、配置错误进行攻击的手法。
本指南参考OWASP Kubernetes Top Ten从防御方的视角描述了漏洞、配置错误两大类风险。
配置不当风险包括以下八个方面的内容:
-
IaC检测-工作负载配置不当
-
基线检测-集群组件配置不当
-
RBAC配置检测
-
缺失网络隔离控制
-
缺失日志和监控
-
缺失集中策略执行
-
缺失机密管理
-
身份验证机制不健全
漏洞风险包含以下两方面内容:
-
身份验证机制不健全
-
供应链漏洞
指南从攻防双方视角分析了针对各种弱点的攻击手法以及防御手段。通过每种风险的刨析,解释了采用何种手段可有效降低风险提高攻击方的攻击成本。
指南中介绍了4个Kubernetes领域安全开源项目。分别是Kubebench、OPA、CDK、Trivy。文章详细介绍了每种安全开源项目工作原理、使用方法。通过对以上安全开源项目介绍,为读者在Kubernetes运营阶段使用工具提供了参考。应用场景和优秀开源项目的介绍,有助于推动Kubernetes安全技术的进一步发展,提高应对多种安全事件的能力。
课程推荐
CCSK(Certificate of Cloud Security Knowledge)云安全知识认证,是国际权威组织云安全联盟于2011年发布的认证项目,旨在为全球范围内的专业人士提供标准化的云安全知识体系。被译成六国语言,在全球广泛推广,被誉为“云计算安全认证之母”。
作为云计算领域面向个人的首个全球安全认证,全面覆盖了云安全的关键知识点,成为了云安全领域的个人认证基准。云安全从业者通过获取CCSK认证,证明其体系化的掌握了云安全架构、云安全治理、云应用安全、云数据安全、云安全运营等方面的知识,也具备云安全规划、安全选云、安全上云、安全用云等方面的能力。
CCSK 学员对象:
首席安全官CSO、首席技术官CTO、首席产品官CPO、首席市场官CMO、产品经理、技术架构师、方案架构师、开发人员、测试人员、项目经理、方案经理、交付经理、业务运营人员、技术运维人员、市场分析人员、安全服务人员等。
致 谢
《Kubernetes安全指南》由CSA大中华区云原生安全工作组内K8S安全研究项目组专家撰写,感谢以下专家的贡献:
编写组:王亮、党超辉、TeamsSix
审校组:刘文懋、谢奕智、杨天识、卜宋博、何诣莘、徐岩、张元恺、夏威
本文作者:
王亮,CSA大中华区专家、安易科技云安全架构师
审核:
党超辉,CSA大中华区专家
TeamsSix,CSA大中华区云渗透测试工作组成员
关注公众号,回复关键词“安全”
即可获取报告完整版
推荐阅读
原文始发于微信公众号(国际云安全联盟CSA):CSA发布 | Kubernetes安全指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论