【云攻防系列】从攻击者视角聊聊K8S集群安全(上)

最新推荐文章于 2023-06-28 11:09:50 发布
最新推荐文章于 2023-06-28 11:09:50 发布
阅读量632 收藏 2
点赞数
文章标签: kubernetes 安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/128715718
版权

前言

作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估
K8S,其在生产环境下的市场占有率可见一斑。

K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S
组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
本文就以攻击者的视角来聊一聊在 K8S 集群架构下可能存在哪些可攻击的点。

根据以往的渗透测试经验,我们梳理了 K8S 集群架构下可能存在的安全问题,并在如图1的 K8S 集群基础架构图中标注了潜在的攻击点:

图1- K8S集群攻击点

本文将从图 1 出发,在介绍图中标注的攻击点的同时,总结一些在对 K8S 集群进行实际渗透测试的过程中常用的攻击方法。

本文共分为上、下两篇,本篇为上篇,主要介绍对 K8S 组件、节点对外服务、业务 pod
的攻击,以及容器逃逸,即对应图1的攻击点1~7。其余内容将在下篇介绍。

K8S集群攻击点(1~7)

1. 攻击点 1~4:攻击K8S组件

K8S 组件的问题主要是指各组件的不安全配置,攻击点1~4罗列了4个比较有代表性的组件问题,即 API Server 未授权访问、etcd
未授权访问、kubelet 未授权访问、kube-proxy 不安全配置。

除此之外,还有很多组件都存在着类似的安全问题,比如 dashboard、docker 等组件也存在未授权访问的隐患,这些都是 K8S
集群的重要系统组件,一旦被攻击成功,都是可以直接获得相应集群、节点或容器的权限的。

表1搜集了各个组件存在隐患的默认端口,供参考:

组件名称

|

默认端口

—|—

api server

|

8080/6443

dashboard

|

8001

kubelet

|

10250/10255

etcd

|

2379

kube-proxy

|

8001

docker

|

2375

kube-scheduler

|

10251

kube-controller-manager

|

10252

表1- K8S 各组件默认端口

2. 攻击点5:攻击节点对外服务

除了正常的对外业务,可能还会有一些“隐藏”的对外开放服务,这些服务本不该暴露

最低0.47元/天 解锁文章
Jinmindong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浅谈攻防——国内首个对象存储攻防矩阵
YDclub的博客
09-29 356
前言 对象存储是厂商提供的一种用来存储海量文件的分布式存储服务,可用于大规模存储非结构化数据。因为其具有高扩展性、低成本、可靠安全等优点,所以成为许多IT产业向原生的开发和部署模式转变过程中不可或缺的一部分。 随着上业务的蓬勃发展,作为原生的一项重要能力,对象存储服务同样也面临着一系列安全挑战。纵观近些年来的安全漏洞,与对象存储服务相关的数据泄露事件比比皆是,以2017美国国防部承包商数据泄露为例: “Booz Allen Hamilton公司(提供情报与防御顾问服务)在使用亚马逊S3服务
实战阿里OSS攻防
技术超强的网络安全平台
05-24 3413
写在前面 现在,服务器逐渐进入人们的视野,越来越受欢迎,由于服务器易管理,操作性强,安全程度高,很多大型厂商都选择将资产部署在服务上,但随之也出现了一些安全问题,接下来将介绍五个案例,由于以下的案例大多都是真实案例,所以打码会打得严重些。 案例演示 从任意文件上传到任意文件覆盖 遇到一个文件上传点 先上传一个图片,并抓包,成功上传于是乎想要更改文件的类型为html,但是上传后不解析,继续更改Content-Type的值为text/html,上传后成功弹窗。 包如下: POST / HTTP/1.1
k8s集群安全机制
rabies的博客
10-29 542
1、概述: (1)访问k8s集群的时候,需要经过三个步骤完成具体操作 第一步:认证操作 第二步:鉴权(授权) 第三步:准入控制 (2)进行访问时候,过程中都需要经过apiserver,apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问Pod,需要serviceAccount 第一步认证 传输安全 * 传输安全: 对外不暴露8080端口,只能内部访问,对外使用端口6443 * 认证 ...
详解安全攻防模型,这些攻击战略和战术越早知道越好!
博文视点(北京)官方博客
07-29 963
计算在带来便利的同时,也带来了新的安全技术风险、政策风险和安全合规风险。 那么,如何设计计算安全架构、如何保障计算平台的安全合规、如何有效提升安全防护能力是需要研究的重要课题。 本文就先来介绍一下ATT&CK安全攻击模型。 01 ATT&CK定义 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是由MITRE公司在2013年推出的,包含对抗策略、技术和常识,是网络对抗者(通常指黑客)行为的精选知识库和模
攻防的攻击思路
最新发布
Websec
06-28 671
攻击路径:服务账号AK/SK -> 服务公开API -> 服务资源调用(OS镜像,容器镜像,存储桶,数据库,Userdata等)-> 敏感信息泄露(数据,凭据等)RCE -> EC2 Metadata API -> EC2 Userdata -> 敏感凭证 -> 其他EC2或者服务。攻击路径:公有厂商办公网/DMZ区域 -> 公有员工权限 -> 公有管理面网络 -> 公有生产网。攻击路径:第三方软件漏洞 -> 使用该软件的服务 -> 服务系统/平台 -> 其他租户数据。
攻击者视角看待互联网金融安全.pdf
08-21
攻击者视角看待互联网金融安全 安全实践 安全架构安全对抗 安全分析 数据库
安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证.pdf
09-18
安全通知】NPM遭遇供应链投毒...总的来说,供应链攻击正成为网络安全的严峻挑战,而K8S集群凭证的窃取显示了攻击者原生基础设施的特殊兴趣。对此,我们需要不断学习、提升和创新,以适应日益复杂的网络攻防态势。
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
《Android安全攻防指南》一书中,硬件层的攻击部分主要探讨了在Android系统广泛应用的背景下,如何针对各种嵌入式设备的硬件进行攻击和逆向工程。Android因其可移植性、灵活性和开放性,成为了嵌入式设备操作系统中...
安全攻防实战手册.pdf
10-19
CVE-2020-8562 漏洞是 k8s 的一个重要安全隐患之一,它可以让攻击者获得 k8s 集群的控制权,访问和控制 k8s 集群中的资源和数据。为了防御 CVE-2020-8562 漏洞,需要从多个方面入手。首先,需要对 k8s 集群进行安全...
攻防的实践与思考.pdf
08-11
上的威胁场景 攻防的实践 攻防的思考
浅谈攻防系列——IAM原理&风险以及最佳实践
YDclub的博客
08-17 4037
IAM服务作为平台中进行身份验证与访问管理的一个重要功能,通过了解IAM服务的工作原理、功能特征以及如何正确使用IAM进行配置,对保障安全尤为重要。通过上文分析可见,虽然IAM服务自身拥有如上的众多优势,可以很好支持上身份与访问管理,但是由于没有遵循安全规范,错误的使用IAM功能,依然会为上资产带来风险。未来我们将持续关注IAM安全问题,并给出对应的安全建议与解决方案。...
一文透析腾讯攻防体系
qcloud_security的博客
01-21 1022
近年来,网络安全问题变得愈发严峻,企业被黑客攻陷事件层出不穷,企业攻防犹如一道隔绝外界侵扰的屏障,一旦屏障被攻破,信息数据安全便失去保障。随着计算浪潮到来,越来越多企业开始在上探索新航线,期望解决应用数据量庞杂、服务器运维成本高、主机运行不稳定、配套资源待完善等问题,而计算应用的热潮,也让安全成为新的命题。 攻防对抗: 安全的一道墙 进入时代,企业与企业之间以及企业与用户之...
你关心才值得分享 | K8S网络安全之访问控制技术实践
dotNET跨平台
05-10 668
(请允许我插播下广告,便于其它伙伴了解趣码 Cloud Coder)还是那句话,你关心才值得分享~最近的一起分享就在5.10本周四晚,精彩千万不要错过!Hi,你是不是也曾...
k8s-CKS真题-CIS基准测试与安全扫描
关注网络安全、云原生安全
04-16 904
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描
jasonhe2018的博客
01-22 549
K8S-Demo集群实践:搭建镜像仓库Harbor+安全扫描一、安装Docker-compose1、下载docker-compose2、查看docker-compose版本号二、安装harbor1、下载并解压到/usr/local/目录下2、修改配置3、安装三、访问测试四、添加镜像扫描器参考 用VMware创建一台虚拟机,安装CentOS7.9,4C/4G 安装Docker-compose,要先装Docker,参见准备VMware虚拟机模板 一、安装Docker-compose 1、下载docker-c
k8s安全机制
砚墨
01-22 192
k8s安全机制 kubernetes安全框架 访问k8s集群的资源需要过三关:认证、鉴权、准入控制 普通用户若要安全访问集群API Server,往往需要证书、token或者用户名+密码;pod访问,需要serviceAccount k8s安全控制框架主要由下面三个阶段警醒控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authenrization Admission Control [外链图片转存失败,源站可能有防盗链机制,建议将图片
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1109
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值