導(dǎo)讀:這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產(chǎn)品GKE Autopilot,同時(shí)甚至影響到了GKE 標(biāo)準(zhǔn)。
去年,Palo Alto Networks(派拓網(wǎng)絡(luò))的威脅研究與咨詢(xún)團(tuán)隊(duì)Unit 42 曾在 Google Kubernetes Engine (GKE) 中發(fā)現(xiàn)多個(gè)漏洞和攻擊技術(shù)。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產(chǎn)品GKE Autopilot,同時(shí)甚至影響到了GKE 標(biāo)準(zhǔn)。
Unit 42 發(fā)現(xiàn) GKE Autopilot 漏洞能夠讓攻擊者升級(jí)權(quán)限,并接管整個(gè)集群。攻擊者可以隱秘地竊取信息,部署惡意軟件,實(shí)施加密挖礦攻擊,以及破壞工作負(fù)載。谷歌隨后解決了這些問(wèn)題,并在 GKE 中部署了大量補(bǔ)丁保護(hù)集群。到目前為止,Unit 42 未發(fā)現(xiàn)這些漏洞被廣泛利用。
針對(duì)Kubernetes的攻擊愈演愈烈
Kubernetes是Google開(kāi)源的容器編排引擎,支持自動(dòng)化部署、大規(guī)模擴(kuò)展和應(yīng)用容器化管理。根據(jù)云原生計(jì)算基金會(huì)(CNCF)的最新年度調(diào)查顯示,絕大多數(shù)企業(yè)(83%)在生產(chǎn)環(huán)境中運(yùn)行了 Kubernetes。值得注意的是,上云為企業(yè)帶來(lái)諸多益處的同時(shí),也吸引了大量攻擊者。Unit 42 監(jiān)測(cè)到許多專(zhuān)門(mén)用于攻擊 Kubernetes 的惡意軟件。要想確保云上工作的安全性,就需要企業(yè)、云安全提供商和整個(gè)網(wǎng)絡(luò)安全行業(yè)共同協(xié)作,解決漏洞和錯(cuò)誤配置等問(wèn)題。
隨著 Kubernetes技術(shù)的不斷進(jìn)步,目前簡(jiǎn)單的錯(cuò)誤配置和漏洞已經(jīng)越來(lái)越少見(jiàn),而攻擊者也在不斷升級(jí)攻擊行為。研究表明,即使是 Kubernetes 中最細(xì)微的問(wèn)題,也可能成為攻擊的切入點(diǎn)。只有全面的云原生安全平臺(tái),才能讓防御者有能力保護(hù)集群免受類(lèi)似威脅。
如何防范針對(duì)Kubernetes的惡意攻擊
Kubernetes 管理員可以通過(guò)制定規(guī)則和采取審核措施,監(jiān)控、檢測(cè)和預(yù)防集群中的可疑活動(dòng)和權(quán)限升級(jí)。另外,應(yīng)用 NodeAffinity、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開(kāi)。
為了保護(hù)整個(gè)云環(huán)境,最好的解決方案是采用全面的云原生安全平臺(tái)。作為業(yè)界唯一的全面云原生安全平臺(tái),Prisma Cloud 利用云服務(wù)提供商 API 提供對(duì)公有云環(huán)境的可視性和控制,同時(shí)利用單個(gè)統(tǒng)一的代理框架將安全性擴(kuò)展到主機(jī)、容器和無(wú)服務(wù)器功能。其憑借對(duì)混合和多云環(huán)境的支持,實(shí)現(xiàn)了全面的云原生安全。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),提供實(shí)時(shí)的深度云資源報(bào)告、保持云端的合規(guī)性、保護(hù)云原生資源及賦能敏捷開(kāi)發(fā)。Prisma Cloud 用戶(hù)可以啟用 Kubernetes 準(zhǔn)入支持,解決 Kubernetes 權(quán)限升級(jí)問(wèn)題。該功能可以有效防止針對(duì) Kubernetes 的攻擊。迄今為止,Prisma Cloud獲得了77%的財(cái)富100強(qiáng)企業(yè)信賴(lài),客戶(hù)超過(guò)1,700家。
-完-
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來(lái)社會(huì),改變著人類(lèi)和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們?cè)谌斯ぶ悄?、分析、自?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶(hù)應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過(guò)交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng),我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬(wàn)計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。