(給哪咤編程加星標,提高Java技能)
大家好,我是哪咤。
2018年黑客入侵了特斯拉在亞馬遜上的Kubernetes容器集群。由於該集群控制台未設定密碼保護,黑客便得以在一個Kubernetes pod中獲取到存取憑證,然後據此存取其網路儲存桶S3,透過S3獲取到了一些敏感數據,比如遙測技術,並且還在特斯拉的Kubernetes pod中進行挖礦。
黑客們潛入到了沒有密碼保護的Kubernetes管控台。在一個Kubernetes pod裏面,盜取了Tesla的公有雲環境的存取許可權,而對應公有雲環境中則存放著如telemetry的敏感數據。
除了裸露的數據之外,RedLock還註意到此次攻擊中一些更為復雜的檢測躲避手段。
首先,沒有使用知名的公共「礦池」。他們安裝挖礦軟體,並透過惡意指令碼連結上未列出/半公共端點。其次,黑客透過CloudFlare隱藏了礦池伺服器的真實IP地址,CloudFalre是一個免費的CDN服務。透過該服務獲得新的IP地址。因此常見標準的基於IP或域的探測很難檢測到此類惡意行為。
挖礦軟體監聽的是非標準埠,基於埠的惡意檢測也變得很困難。黑客們的挖礦軟體保持「低調」,沒有造成CPU使用過高,資源的占用不易被發現。
該事件只是Kubernetes漏洞利用的一個典型案例。
近年來,以Kubernetes為代表的安全編排工具讓企業實作了套用的自動化部署,給企業帶來了巨大的業務收益。但是,和傳統環境下一樣,這些部署也很容易受到黑客和內鬼的攻擊和利用,Kubernetes的安全也因此成為容器使用中重點保護物件。
一、Kubernetes
1.1 什麽是 Kubernetes
Kubernetes 是一個開源的容器編排平台,最初由 Google 設計並捐贈給 Cloud Native Computing Foundation (CNCF) 孵化。Kubernetes 可以自動化地部署、擴充套件和管理容器化應用程式,並提供了許多便捷的特性,如服務發現、負載均衡、自我修復等。Kubernetes 的核心理念是將應用程式和基礎設施分離,以便更快、更安全、更靈活地開發和部署雲原生應用程式。
Kubernetes 的元件可以分為兩大類:控制平面和數據平面。控制平麵包括 Kubernetes API Server、etcd 儲存、控制器管理器、排程器等,負責管理儲存在 etcd 中的集群狀態、決策執行環境中的容器位置、標記、限制等。數據平麵包括各種節點,包括容器執行時、kubelet 守護行程、kube-proxy 代理伺服器,負責維護容器的生命周期、數據流量、負載均衡等。
Kubernetes 提供了一種能夠輕松建立和部署容器的方式,其靈活性和可延伸性使其成為一種非常流行的應用程式部署和管理平台。
1.2 Kubernetes 為什麽需要安全
雖然 Kubernetes 具有許多優點,但也有許多安全考慮因素必須被認真考慮。以下是 Kubernetes 安全威脅的一些例子:
1.2.1 許可權問題
一個被破壞的容器可以在多個 Pod 之間傳播,導致 Kubernetes 集群的整體安全受到威脅。除非良好配置 Kubernetes 中的使用者和角色,否則攻擊者可能具有比他們應有的更多的許可權。
1.2.2 網路問題
由於 Kubernetes 的高度自動化性質,容易使許可權分配分散並產生混亂。這種情況下,攻擊者可以利用 Kubernetes 上的漏洞橫向移動和擴充套件他們在集群中的存取級別。另外,安全的網路策略和在應用程式層面進行保護,包括服務發現和容器網路配置,保證應用程式和數據不被更容易受到攻擊,也可能受到損害。
1.2.3 控制面
如果 Kubernetes API Server 面臨攻擊活動,則可以修改,添加或刪除集群狀態,從而危及整個集群的安全性。此外,一個被攻擊的 Pod 可以進行許多可能對其他 Pod 或主機產生災難性後果的活動,例如嗅探流量並嘗試修改 Pod 以增加攻擊面。
1.2.4 映像安全問題
容器的映像可以隨時被替換,而沒有辦法驗證該映像的內容和完整性。因此,出現一個惡意映像的情況下,整個特定容器中的數據和應用程式可以遭受嚴重威脅。
1.3 Kubernetes 安全秘籍簡介
為了最大化您的 Kubernetes 集群的安全性,必須了解安全性相關的最佳做法和原則。以下是幾個基本的 Kubernetes 安全秘籍:
1.3.1 配置 Kubernetes 物件的 RBAC
為保護 Kubernetes 集群,必須對在 Kubernetes 中執行的物件、Pod 和狀態物件進行身份驗證和授權。Kubernetes Role-Based Access Control(RBAC)為套用於 Kubernetes API 物件的最佳做法之一,以管理存取 Kubernetes API 物件的授權和許可權。
1.3.2 使用安全的容器基礎映像
可以透過使用最佳安全實踐來加強容器的安全性。而選擇合適的基礎映像是實作此目標的重要部份,例如,只使用來自可信源的映像,盡可能減少容器中的客戶端庫數量。
1.3.3 配置 Kubernetes 的網路和策略
安全的網路和防護策略可以保護 Kubernetes 集群免受威脅。透過配置網路外掛程式實作網路隔離,並設定 Pod 和服務之間的網路策略以提高安全性。
1.3.4 使用 Kubernetes 安全掃描器進行安全審計
使用 Kubernetes 安全掃描器可以尋找到容器映像中的潛在漏洞,確保每個大容器映像都沒有安全漏洞,需要及時修復。
二、配置 Kubernetes 集群
2.1 Minikube 安裝
Minikube 是 Kubernetes 的一種輕量級實作,它可以在區域網路內快速搭建一個 Kubernetes 集群用於測試、開發和學習。
2.1.1 Minikube 的安裝步驟:
安裝虛擬機器軟體:Minikube 需要在虛擬機器中執行,建議使用 VirtualBox 或者 HyperKit。VirtualBox 是跨平台的免費軟體,而 HyperKit 是 macOS 中提供的輕量級虛擬化解決方案。
安裝 kubectl:kubectl 是 Kubernetes 的命令列工具,用於管理 Kubernetes 集群。可以透過以下命令安裝:
curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
chmod +x ./kubectl
sudo mv ./kubectl /usr/local/bin/kubectl
在 macOS 上安裝 kubectl 的命令如下:
brew install kubectl
安裝 Minikube:可以透過以下命令安裝 Minikube:
curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
sudo install minikube-linux-amd64 /usr/local/bin/minikube
在
macOS
上安裝 Minikube 的命令如下:
brew install minikube
啟動 Minikube 集群:
minikube start
執行範例套用:
kubectl run hello-minikube --image=k8s.gcr.io/echoserver:1.4 --port=8080
kubectl expose deployment hello-minikube --type=NodePort
minikube service hello-minikube
以上就是安裝和使用 Minikube 的詳細步驟了。
2.2 配置 Kubernetes RBAC
Kubernetes RBAC(Role-Based Access Control)是基於角色的存取控制,它定義了一組角色、角色繫結和集群角色繫結,用於限制 Kubernetes 集群中使用者、服務帳號的許可權範圍。
2.2.1 Kubernetes RBAC 的配置步驟:
建立角色:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: test-role
rules:
- apiGroups: [""] # "" 代表 core API 組
resources: ["pods", "pods/log", "services"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
這裏建立了一個名為 test-role 的角色,它擁有對 Kubernetes 集群中的 pods、services 資源的存取許可權。
建立服務帳號:
apiVersion: v1
kind: ServiceAccount
metadata:
name: test-account
namespace: test-namespace
這裏建立了一個名為 test-account 的服務帳號,它將被繫結在後面建立的角色上。
建立角色繫結:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: test-role-binding
namespace: test-namespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: test-role
subjects:
- kind: ServiceAccount
name: test-account
namespace: test-namespace
這裏建立了一個名為 test-role-binding 的角色繫結,它將 test-role 與 test-account 繫結在一起,以授予 test-account 對 pods、services 資源的存取許可權。
建立名稱空間:
apiVersion: v1
kind: Namespace
metadata:
name: test-namespace
這裏建立了一個名為 test-namespace 的名稱空間,用於隔離上述角色和服務帳號的作用範圍。
以上就是 Kubernetes RBAC 的配置步驟,透過建立角色、服務帳號、角色繫結和名稱空間來定義使用者、服務帳號的許可權作用範圍。
2.3 配置網路策略
網路策略是 Kubernetes 中用於定義網路存取控制策略的一種機制,它可以限制來自特定 IP 或標簽的流量存取 Kubernetes 中的 Pod。
2.3.1 網路策略的配置步驟:
在 Kubernetes 執行網路外掛程式,如 Calico 或者 Cilium,使得網路策略功能可以正常使用。
建立網路策略:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: test-namespace
spec:
podSelector:
matchLabels:
app: test-app
policyTypes:
- Ingress
ingress:
- from:
- ipBlock:
cidr: 10.0.0.0/24
- namespaceSelector:
matchLabels:
name: test-namespace
ports:
- protocol: TCP
port: 8080
這裏建立了一個名為 test-network-policy 的網路策略,它定義了當存取屬於 test-namespace 名稱空間且包含 app=test-app 標簽的 Pod 時,只允許來自 10.0.0.0/24 網段 IP 或 test-namespace 名稱空間的 Pod 存取 Pod 的 TCP 8080 埠。
以上就是網路策略的配置步驟了,透過配置網路策略可以控制 Pod 之間的網路通訊。
2.4 限制 Kubernetes API 存取
在 Kubernetes 中,可以使用網路策略來控制 Pod 之間和 Pod 與集群中其他資源之間的網路流量。本文介紹如何配置網路策略,以限制 Kubernetes API 的存取流量。
建立一個名稱空間:
kubectl create namespace example
建立一個 Label,該 Label 將用於標記要受網路策略保護的 Pod:
kubectl label namespace example name=example
建立 Pod:
apiVersion:v1
kind:Pod
metadata:
name:example-pod
namespace:example
labels:
app:example
spec:
containers:
-name:example-container
image:nginx
建立一個網路策略:
apiVersion:networking.k8s.io/v1
kind:NetworkPolicy
metadata:
name:api-policy
namespace:example
spec:
podSelector:
matchLabels:
app:example
policyTypes:
-Ingress
ingress:
-from:
-podSelector:
matchLabels:
app:kubernetes
上述策略將禁止任何與帶有 label app=example 的 Pod 的入站流量,除非該流量始於帶有 label app=kubernetes 的 Pod。請註意,該規則僅限制流量,因此不影響容器的執行狀態。
驗證策略是否生效:
kubectl run busybox --image=busybox -n example -- sleep 3600
kubectl exec -it busybox -n example -- wget -q -O - http://example-pod
kubectl exec -it busybox -n example -- wget -q -O - kubernetes.default.svc.cluster.local
第一行使用 busybox 映像建立一個名為 busybox 的 Pod,並執行一個長時間休眠的命令。第二行呼叫 wget 命令將透過 Pod example-pod 執行 HTTP GET 請求。由於我們已經建立了一個網路策略,該請求將被阻止。第三行呼叫 wget 命令將存取 kubernetes.default.svc.cluster.local,這是 Kubernetes API 的 DNS 名稱。由於我們已經在策略中選擇了從 Kubernetes 元件 Pod 的流量,該請求將顯示預期的結果。
三、保護 Kubernetes 網路
3.1 配置 Kubernetes 網路外掛程式
Kubernetes 網路外掛程式是一個 K8s 集群中的必要元件之一,它的主要目的是負責實作容器的網路功能,例如為容器分配 IP、實作容器間通訊、提供網路隔離等。不同的網路外掛程式有不同的實作機制,不同的雲平台和部署環境也有不同的網路要求,因此,使用哪種網路外掛程式需要根據實際情況進行選擇。
常用的 Kubernetes 網路外掛程式有以下幾種:
Flannel:Flannel 是一個簡單而高效的容器網路解決方案,它使用了類似於 Overlay 網路的技術,為每個節點分配一個唯一的 IP 地址,並使用 VXLAN 或 UDP 封裝來實作容器之間的通訊。
Calico:Calico 是一個高效能的容器網路解決方案,可以實作高效的容器間網路通訊和網路安全。它使用了 BGP 協定來實作路由,並透過網路策略實作容器存取控制。
Cilium:Cilium 是一種基於 eBPF (Extended Berkeley Packet Filter) 技術的容器網路解決方案,可以提供高效、安全和可靠的容器間通訊。它可以實作網路隔離、網路策略和流量審計等功能。
在選擇網路外掛程式時,需要考慮以下幾個方面:
效能:不同的網路外掛程式有不同的效能表現,需要根據實際套用場景進行選擇。
範圍:一些網路外掛程式只能為應用程式容器提供企業網路絡,而另一些則可以為外部服務提供網路服務。
安全性:一些網路外掛程式提供內建的安全功能來保護容器和雲基礎設施。
易用性:一些網路外掛程式提供圖形化界面和易用的 API,方便使用者部署和管理。
3.2 配置 Kubernetes Ingress 控制器
在 Kubernetes 中,Ingress 控制器是一種負責管理外部流量進入 K8s 集群的元件,它可以使用不同的負載均衡演算法將外部流量路由到不同的後端服務。Ingress 控制器常常被用於實作 Web 應用程式等場景的負載均衡和流量控制。
使用 Ingress 控制器時,需要設定一些安全規則來保護集群免受惡意攻擊。例如:
存取控制:可以透過定義網路策略來控制從外部存取特定服務的許可權,從而確保服務只能被授權使用者和應用程式存取。
SSL/TLS 加密:可以使用 SSL/TLS 加密來保護傳輸的數據。可以為 Ingress 控制器配置自簽名證書或購買權威證書。
限流:可以使用限流來控制流量,以防止 DDoS 攻擊。
存取日誌:可以啟用存取日誌來記錄所有流量,以便進行安全審計和調查。
3.3 安全使用 Kubernetes 服務
Kubernetes 服務是一種允許容器之間互相通訊的抽象機制,它可以為容器動態生成一個穩定的 IP 地址,並提供負載均衡等重要功能。
使用 Kubernetes 服務時,需要註意以下幾個方面:
存取控制:可以使用 Kubernetes 的內建功能來設定網路策略,控制存取服務的許可權。例如,可以禁止外部服務存取一些重要服務。
安全設定:需要設定安全設定來控制服務的存取許可權。例如,可以為服務配置 TLS 證書。
日誌記錄:需要記錄服務的日誌以便於審計和追蹤。
數據保護:需要設定備份和恢復策略以保護服務數據的完整性。
四、安全地執行 Kubernetes 工作負載
4.1 如何讓 Kubernetes Pod 更安全
在 Kubernetes 中,「Pod」是最小的環境單元,是一個或多個容器的集合。建立一個安全的 Pod 需要考慮以下幾個方面:
4.1.1 限制資源
在 Kubernetes 中,可以利用
LimitRange
和在 PodLevel 中使用
resourceQuotas
實作資源的限制,並防止 Pod 超出其可用資源。透過設定資源限制,可以確保容器無法獲得超過它應有的資源。
4.1.2 使用安全上下文
透過使用安全上下文,可以為某些容器設定使用者 ID(UID)和組 ID(GID)。這可以防止攻擊者存取系統級別的檔或行程,並限制容器的能力。
Kubernetes 還允許配置特權上下文機制,在容器中取消安全限制,但這應該謹慎使用,盡可能避免。
4.1.3 啟用 Kubernetes pod 安全策略
Kubernetes Pod 安全策略(PodSecurityPolicy)可幫助管理員對 Pod 下的容器應用程式執行強制安全性措施。PodSecurityPolicy 的使用可以防止容器從容器內部攻擊宿主機,也可以防止容器之間的攻擊。
4.1.4 使用網路隔離
使用 Kubernetes 的網路外掛程式或者其他鏈路層隔離技術,可以增強 Pod 的網路隔離性和安全性。透過流量隔離,可以限制容器存取其他容器或儲存卷等敏感資源,減少網路攻擊的發生。
4.2 Kubernetes 容器安全最佳實踐
保護容器是保護 Kubernetes 集群的關鍵。下面介紹幾個將有助於提高容器安全性的 Kubernetes 容器安全實踐:
4.2.1 選擇適當的容器基礎映像
合理選擇 Docker 容器映像,標準映像推薦使用官方的映像倉庫。也可以使用 Docker 的安全元件進行容器基礎映像驗證。
4.2.2 確保容器映像程式碼病毒和漏洞掃描
使用容器映像掃描器,確保容器程式碼沒有病毒和漏洞。掃描後把顯示程式碼和漏洞進行修復,以致使用安全映像。
4.2.3 配置容器安全策略
透過 Kubernetes 的容器安全策略 (PodSecurityPolicy) 配置容器安全策略,推薦使用 runtime class 策略 限制特權容器在 Pod 中的使用以及不安全容器的存取許可權。
4.2.4 使用容器日誌記錄
容器日誌記錄可以方便管理員為容器的活動作出診斷和調整。用標準輸出最佳化容器日誌並將其收集至資訊安全中心或外部儲存。
4.2.5 執行應用程式多個例項
容器執行時保障應用程式的可用性並提供彈性,如果一個容器在發生故障的情況下,它不會影響應用程式的其余部份。執行多個例項時,確保使用負載均衡器,可使流量透過非常安全的通道路由,從而達到更好的安全保護。
4.2.6 配置網路安全
Kubernetes 集群應該配置網路安全性保障,每個容器都應該擁有自己的 IP 和埠,網路策略可以配置,以限制容器間的流量。
4.3 使用 Kubernetes 作業系統安全性修補程式
除容器安全外,還需要對 Kubernetes 工作節點的本身進行保護。特別是,要定期更新 作業系統的安全修補程式、Kubernetes 元件等。此外,Kubernetes 工作節點應配置安全接入,以限制不必要的存取並保護集群免受未經授權的存取和攻擊。可以使用 Kubernetes 各種安全元件,監視和警報安全事件,以及采取必要的措施和修復,以確保 Kubernetes 集群是可靠且安全的。
五、監控和日誌管理
5.1 使用 Kubernetes 安全掃描器
使用 Kubernetes 安全掃描器可以自動掃描 Kubernetes 集群中的容器映像和資源配置,尋找潛在的安全漏洞和風險。以下是一些常見的安全掃描器:
Aqua Security:一家提供容器安全和策略管理的公司,其 Aqua Security Scanner 可以掃描應用程式容器映像並提供漏洞分析、風險評估和建議。
Clair:一個開源的容器漏洞掃描器,它與 CoreOS、Docker、Kubernetes 等平台相容。
Anchore:一個開源的容器映像分析工具,它可以評估映像的安全性、配置、效能等方面,並提供警報和建議。
Sysdig Secure:一種綜合安全解決方案,它在 Kubernetes 中提供執行時掃描、攻擊檢測、一致性和符合性審計等功能。
5.2 在 Kubernetes 中啟用日誌記錄
為了增強安全和故障排除能力,在 Kubernetes 中啟用日誌記錄非常重要。以下是一些常見的日誌記錄解決方案:
Fluentd:一種開源的日誌收集器和分發器,它可以集中管理多個 Kubernetes 集群中的日誌,並將其發送到相應的後端儲存、分析或視覺化工具中。
Elasticsearch-Fluentd-Kibana(EFK)堆疊:一個流行的日誌記錄解決方案,它結合了 Elasticsearch、Fluentd 和 Kibana 三個工具,實作了日誌的集中式管理、搜尋和視覺化。
Loki:一種開源的日誌聚合器,它專門針對 Kubernetes 和容器環境進行了最佳化,提供高度可延伸和高效的日誌收集和查詢功能。
5.3 在 Kubernetes 中添加監視
監視 Kubernetes 集群和應用程式的狀態可以幫助您及時發現和解決問題,並提高可靠性和可用性。以下是一些常見的監視解決方案:
Prometheus:一種開源的時間序列資料庫和監視系統,它可以監視 Kubernetes 中的各種指標和事件,並提供靈活的警報和查詢功能。它還可以與 Grafana 等視覺化工具結合使用,使您可以更容易地了解整個系統的狀況。
Datadog:一種整合的監視和分析平台,它支持 Kubernetes、容器等多種技術棧,並提供即時指標、日誌和跟蹤數據的視覺化和警報。
Sysdig Monitor:一個提供即時容器監視、安全性、效能和可靠性指標的解決方案,支持 Kubernetes、Docker、Mesos 和 Amazon Web Services 等平台。
六、更新和備份 Kubernetes 集群
6.1 使用 Kubernetes 捲動升級
Kubernetes 提供了一種捲動升級的方式來升級您的集群。捲動升級指的是逐步升級集群中的每個節點,確保在進行升級時始終保持集群的可用性。使用捲動升級時,您可以透過控制升級的速度和範圍,以確保每個節點都能夠成功升級並保持集群的穩定性。參考以下步驟進行 Kubernetes 捲動升級:
使用
kubectl drain
命令從集群中排除一個節點,並將其生產負載移到其他節點上。
執行
kubectl upgrade
命令以將節點升級到新版本。
使用
kubectl uncordon
命令將節點重新加入集群,並讓其重新承擔生產負載。
重復上述步驟,直到所有節點都成功升級為止。
6.2 執行自動備份和還原
您可以使用 Kubernetes 的 Backup and Restore(Velero)外掛程式執行自動備份和還原操作,以保護您的應用程式和數據。Velero 可以備份 Kubernetes 應用程式和其依賴項(如儲存、配置和金鑰等)的狀態,並在需要時將其還原到先前的狀態。參考以下步驟使用 Velero 執行 Kubernetes 備份和恢復:
安裝 Velero 外掛程式並配置備份儲存和金鑰。
執行
velero backup create
命令以建立備份。
執行
velero restore create
命令以將備份還原到當前的 Kubernetes 環境。
檢視透過
velero backup get
命令獲得的備份歷史記錄。
七、 安全 Kubernetes 的最佳實踐
7.1 持續漏洞管理和修復
持續漏洞管理和修復是保持 Kubernetes 安全的關鍵。以下是一些實踐建議:
使用自動化工具進行漏洞掃描和修復,並確保定期執行掃描操作。
及時升級 Kubernetes 版本和容器映像,以修復已知漏洞和安全問題。
使用最小特權原則,僅授予容器和節點所需的許可權和存取級別。
使用網路和安全策略來限制容器和節點之間的通訊,並確保安全地與外部應用程式進行通訊。
7.2 安全使用 Kubernetes API 物件
Kubernetes API 物件是 Kubernetes 中的核心元素,因此確保安全使用它們非常重要。以下是一些關於安全使用 Kubernetes API 物件的最佳實踐:
實施存取控制,使用 RBAC 或其他存取控制工具來限制使用 API 物件的使用者和服務帳戶的許可權。
配置 TLS 加密,Kubernetes API 使用 TLS 保護通訊,因此確保啟用和正確配置 TLS 加密以防止未經授權的存取和攻擊。
限制公開存取,不要把 Kubernetes API 暴露在公共網路上,而是將其限制為安全的企業網路絡。
審計和監控 Kubernetes API 的使用,以檢測未經授權的存取和異常活動。
7.3 Kubernetes 安全審計策略
Kubernetes 安全審計策略可以幫助您跟蹤和監視 Kubernetes 集群中的活動,並幫助您及時檢測和響應安全漏洞和攻擊。以下是一些最佳實踐:
跟蹤重要的 Kubernetes API 物件和敏感操作(如建立、刪除和修改操作)的存取和使用情況。
儲存審計日誌並定期分析它們,以尋找異常活動和潛在的安全風險。
建立警報和響應機制,以便在檢測到安全事件時及時采取行動。
定期檢查和更新審計策略,以確保其有效性和適應力。
- EOF -
推薦閱讀 點選標題可跳轉
!
·················END·················
看完本文有收獲?請轉發分享給更多人
關註「哪咤編程」,提升Java技能
點贊和在看就是最大的支持 ❤️
