當(dāng)企業(yè)創(chuàng)建或使用云上應(yīng)用系統(tǒng)時(shí)，大多都需要使用Kubernetes。據(jù)云原生計(jì)算基金會（CNCF） 最近的一份報(bào)告顯示，Kubernetes在全球已擁有近600萬個(gè)企業(yè)用戶，成為云上應(yīng)用程序主要的部署模式。

　　隨著Kubernetes平臺上的敏感數(shù)據(jù)越來越多，其被攻擊的風(fēng)險(xiǎn)就越大。要實(shí)現(xiàn)Kubernetes平臺的完整安全措施需要一個(gè)系統(tǒng)化的建設(shè)過程，但研究人員發(fā)現(xiàn)，在Kubernetes應(yīng)用產(chǎn)生的安全問題中，超過9成都是由于非常基礎(chǔ)的原因所引發(fā)，本來是可以被避免的。本文梳理總結(jié)了Kubernetes應(yīng)用中的七個(gè)最常見基礎(chǔ)性安全錯(cuò)誤。

　　1、默認(rèn)配置未修改

　　研究人員發(fā)現(xiàn)，許多組織都在使用默認(rèn)的集群配置，并且未引起重視，這是個(gè)非常嚴(yán)重的錯(cuò)誤。盡管Kubernetes的默認(rèn)設(shè)置為開發(fā)人員賦予了較大的靈活性和敏捷性，但是卻沒有考慮安全防護(hù)層面的需求。默認(rèn)配置在面對非法攻擊時(shí)會變得非常脆弱。為了保護(hù)Kubernetes上應(yīng)用數(shù)據(jù)的安全，企業(yè)必須確保對集群配置的合理性和安全性，以獲得更充分的安全防護(hù)能力。

　　2、管理員權(quán)限混亂

　　為了應(yīng)用方便，很多組織的開發(fā)人員可以輕易的使用CLUSTER_ADMIN（集群管理員）之類特權(quán)賬號對集群執(zhí)行日常操作，這種方式顯然是錯(cuò)誤的。特權(quán)賬號應(yīng)該僅用于管理其他角色和用戶，當(dāng)多個(gè)開發(fā)者都可以擁有CLUSTER_ADMIN級別的訪問權(quán)限時(shí)，也意味著黑客可以更加輕松的獲得訪問權(quán)限，他們可以通過這些高級賬戶非法進(jìn)入Kubernetes上的系統(tǒng)，進(jìn)而全面訪問整個(gè)集群中的數(shù)據(jù)資源。

　　3、過度的訪問授權(quán)

　　并非每個(gè)開發(fā)人員都需要全面訪問所有資源才能完成其工作，但實(shí)際上，許多企業(yè)的管理員卻沒有對開發(fā)人員訪問dev/stage/prod集群的權(quán)限類型予以適度的管理和限制。允許開發(fā)人員不受限制地訪問資源是一種非常糟糕的做法。與設(shè)有多個(gè)管理員相似，這個(gè)錯(cuò)誤很容易就會被黑客探測并利用，他們可以使用這種不受限制的訪問權(quán)限在貴組織的系統(tǒng)中橫向移動，并且大量的竊取或破壞資源。

　　4、未有效的實(shí)現(xiàn)應(yīng)用隔離

　　隔離是Kubernetes平臺的一種天然屬性，可以通過命名空間來實(shí)現(xiàn)對象隔離。但是許多企業(yè)組織想當(dāng)然地以為集群網(wǎng)絡(luò)與云虛擬專用網(wǎng)（VPC）都會被有效的進(jìn)行隔離，但事實(shí)并不是這樣。企業(yè)在Kubernetes應(yīng)用中，不能忽視保護(hù)集群網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)，并對重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)實(shí)現(xiàn)隔離防護(hù)。

　　5、未檢測導(dǎo)入YAML的安全隱患

　　Kubernetes可以支持YAML和JSON格式創(chuàng)建資源對象，JSON格式用于接口之間消息的傳遞，適用于開發(fā)；YAML格式用于配置和管理，適用于云平臺管理。YAML是一種簡潔的非標(biāo)記性語言，導(dǎo)入公共YAML盡管可以避免重復(fù)性工作，節(jié)省時(shí)間，但也同樣會將錯(cuò)誤配置引入到企業(yè)環(huán)境中。因此企業(yè)在引入公共YAML時(shí)，需要充分檢測并評估其帶來的安全影響，并確?？梢越鉀Q配置過程中可能存在的安全性問題。

　　6、將機(jī)密數(shù)據(jù)存儲在ConfigMap中

　　機(jī)密數(shù)據(jù)主要包括密碼、令牌或密鑰之類的敏感數(shù)據(jù)。由于疏忽或者使用的方便，開發(fā)人員經(jīng)常會將一些機(jī)密信息存儲在ConfigMap中，從而增加了這些敏感數(shù)據(jù)的暴露風(fēng)險(xiǎn)。ConfigMap是一種API對象，通常只用來保存非機(jī)密性數(shù)據(jù)，它可以讓用戶將針對特定環(huán)境的配置與容器鏡像分離，以便應(yīng)用程序易于移植。但是由于缺乏保護(hù)，黑客同樣有機(jī)會訪問ConfigMap，因此也能夠訪問保存在其中相關(guān)資源。

　　7、沒有定期開展安全掃描

　　在軟件開發(fā)生命周期（SDLC）和持續(xù)集成/持續(xù)交付（CI/CD）管道的早期階段執(zhí)行定期掃描，以查找錯(cuò)誤配置和漏洞，這有助于杜絕這些問題進(jìn)入到生產(chǎn)環(huán)境的可能性。但現(xiàn)實(shí)中，許多組織都沒有這樣的安全計(jì)劃或缺少行動。從攻擊成本角度看，黑客通常會尋找最省事的攻擊目標(biāo)。因此，企業(yè)首先要確保自己不是保護(hù)最乏力的組織，這樣就可以減少成為被攻擊目標(biāo)的可能性。開展日常性的安全漏洞檢查并且有效落實(shí)，正是一種快速提升安全能力的有效途徑。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<