特邀文章,原载于ARMO博客, 作者Leonid Sandler, ARMO 首席技术官兼联合创始人
2022年3月,NSA & CISA发布了新版本的Kubernetes加固指南--1.1版。它更新了2021年8月发布的前一个版本。Kubernetes的发展速度很快,Kubernetes的应用增长更快。Kubernetes已经成为一个非常受欢迎的目标,因此需要不断加强保护措施。
NSA & CISA的方法变得流行,并被许多人使用,因为它启发读者理解每项建议的根本原因,为什么它是必不可少的,以及恶意行为者可能如何利用它。除了帮助读者了解应该启用和禁用什么之外,该文件还有助于将威胁情况映射到你的具体解决方案上,并了解潜在的攻击将如何影响你的系统。
新版文件显示,其作者非常关注Kubernetes和云安全,并试图帮助该行业为攻击方法的演变以及Kubernetes和云平台提供的新功能所驱动的下一波威胁做好准备。
下面提供新版NSA & CISA Kubernetes加固指南中涉及的几个最重要的要点。
Kubernetes基础设施加固
ETCD:确保静态加密;ETCD和KubeAPI服务器之间的相互TLS通信;为ETCD通信使用单独的证书授权。
容器运行时:强调必须对容器运行时图像和Kubernetes常驻组件进行持续的漏洞扫描,作为供应链威胁的一部分。
控制平面加固:在控制平面通信接口中使用TLS并禁用匿名认证。
RBAC:对RBAC的启用和配置给予了更多关注。新的建议包括额外的角色分离。例如,建议在管理和基础设施管理角色之间进行分离。
用户认证
在上一版本的文件中,用户认证被视为不在范围内。新版本着重强调了用户认证的重要性,并建议使用强大的多因素认证方法,尽管它们不是Kubernetes本身的一部分。指南给出了明确的方向,在这个领域依靠第三方产品。
使用并持续监控RBAC,以确保授权用户和用户组之间的最小特权原则。
禁用所有未经认证的接口和匿名认证。将可能被盗的凭证视为一种可行的、危险的威胁,并使用短时令牌和第三方工具来缓解这种情况。
PSP的废弃
对于那些使用PSP的人,建议转移到PSA(从V1.23版开始)。然而,本节也建议考虑第三方准入控制器作为一种更灵活和可定制的机制。
接纳控制器
虽然录取控制器不是一个新的机制,在上一版本的文件中也有,但新版本增加了更多的要求/期望。除了增强的PSP/PSA机制外,现在还希望接纳控制器能够验证容器镜像签名并执行增强的配置验证。
POD服务账户令牌保护
早期版本已建议从所有不被设计为与KubeAPI通信的POD中移除服务账户令牌。这一建议仍然有效。然而,CSP的一些新功能现在可以使用SA令牌对Kubernetes控制之外的平台服务进行认证。如果正在使用这些功能,现在建议为这些服务账户分配空的RBAC角色。
应用容器加固
该文件强调了图像扫描的重要性 连续图像扫描,因为每天都有新的漏洞出现;使用私有/封闭的图像库;使用沙盒和seccomp技术(在最小特权原则之上);使用网络策略和支持它们的CNI;特别注意入口策略的必要性;明确建议总是从默认拒绝策略开始,然后启用必要的路由(这不一定是可扩展的,但绝对是最安全的)。
审计和日志
新版本更加关注节点服务和应用程序本身的日志记录,并建议使用能够将所有日志关联起来并进行分析的第三方工具。
该文件明确警告说,日志深度与Kubernetes秘密等潜在敏感信息的暴露存在冲突。
Kubescape如何帮助
Kubescape是第一个提供Kubernetes错误配置扫描的工具,根据NSA和CISA指南框架,在它们发布后,立即进行扫描。自推出以来,Kubescape在NSA和CISA方法的启发下,为Kubernetes安全评估增加了许多重要的安全功能。今天,它仍然是提供这个和其他几个框架的领先开源工具。
一些新的验证需要对节点配置进行深入了解。我想鼓励你使用"-enable-host-scan "标志,允许Kubescape验证重要的节点配置方面,如与KubeAPI的TLS保护通信,匿名认证的停用,以及更多。
我们继续为Kubescape不断添加新的验证控制,以坚持最新的威胁状况,并跟上安全框架的发展,如NSA和CISA指南。新版本中的一些新要求已经在Kubescape中实现。这类控制可能存在于其他框架中,所以它们将很快被添加到NSA框架中。
Kubescape提供的连续容器漏洞扫描能够更好地对你的潜在风险分数进行背景评估。如果在有特权的POD、对入口流量开放的POD或拥有特权服务账户令牌的POD中发现关键漏洞,则会对你的系统造成更大的危险。
3198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
