導(dǎo)讀:這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產(chǎn)品GKE Autopilot,同時甚至影響到了GKE 標(biāo)準(zhǔn)。
去年,Palo Alto Networks(派拓網(wǎng)絡(luò))的威脅研究與咨詢團(tuán)隊(duì)Unit 42 曾在 Google Kubernetes Engine (GKE) 中發(fā)現(xiàn)多個漏洞和攻擊技術(shù)。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產(chǎn)品GKE Autopilot,同時甚至影響到了GKE 標(biāo)準(zhǔn)。
Unit 42 發(fā)現(xiàn) GKE Autopilot 漏洞能夠讓攻擊者升級權(quán)限,并接管整個集群。攻擊者可以隱秘地竊取信息,部署惡意軟件,實(shí)施加密挖礦攻擊,以及破壞工作負(fù)載。谷歌隨后解決了這些問題,并在 GKE 中部署了大量補(bǔ)丁保護(hù)集群。到目前為止,Unit 42 未發(fā)現(xiàn)這些漏洞被廣泛利用。
針對Kubernetes的攻擊愈演愈烈
Kubernetes是Google開源的容器編排引擎,支持自動化部署、大規(guī)模擴(kuò)展和應(yīng)用容器化管理。根據(jù)云原生計(jì)算基金會(CNCF)的最新年度調(diào)查顯示,絕大多數(shù)企業(yè)(83%)在生產(chǎn)環(huán)境中運(yùn)行了 Kubernetes。值得注意的是,上云為企業(yè)帶來諸多益處的同時,也吸引了大量攻擊者。Unit 42 監(jiān)測到許多專門用于攻擊 Kubernetes 的惡意軟件。要想確保云上工作的安全性,就需要企業(yè)、云安全提供商和整個網(wǎng)絡(luò)安全行業(yè)共同協(xié)作,解決漏洞和錯誤配置等問題。
隨著 Kubernetes技術(shù)的不斷進(jìn)步,目前簡單的錯誤配置和漏洞已經(jīng)越來越少見,而攻擊者也在不斷升級攻擊行為。研究表明,即使是 Kubernetes 中最細(xì)微的問題,也可能成為攻擊的切入點(diǎn)。只有全面的云原生安全平臺,才能讓防御者有能力保護(hù)集群免受類似威脅。
如何防范針對Kubernetes的惡意攻擊
Kubernetes 管理員可以通過制定規(guī)則和采取審核措施,監(jiān)控、檢測和預(yù)防集群中的可疑活動和權(quán)限升級。另外,應(yīng)用 NodeAffinity、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開。
為了保護(hù)整個云環(huán)境,最好的解決方案是采用全面的云原生安全平臺。作為業(yè)界唯一的全面云原生安全平臺,Prisma Cloud 利用云服務(wù)提供商 API 提供對公有云環(huán)境的可視性和控制,同時利用單個統(tǒng)一的代理框架將安全性擴(kuò)展到主機(jī)、容器和無服務(wù)器功能。其憑借對混合和多云環(huán)境的支持,實(shí)現(xiàn)了全面的云原生安全。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),提供實(shí)時的深度云資源報(bào)告、保持云端的合規(guī)性、保護(hù)云原生資源及賦能敏捷開發(fā)。Prisma Cloud 用戶可以啟用 Kubernetes 準(zhǔn)入支持,解決 Kubernetes 權(quán)限升級問題。該功能可以有效防止針對 Kubernetes 的攻擊。迄今為止,Prisma Cloud獲得了77%的財(cái)富100強(qiáng)企業(yè)信賴,客戶超過1,700家。
-完-
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會,改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個日益安全的世界。