欢迎光临
我们一直在努力

Kubernetes 中 HostPath 的风险和防范

Kubernetes 的安全问题,被提及比较多的一般包括几个点:

  • Docker & Kubernetes 参数加固
  • RBAC
  • Root 镜像
  • 特权容器

众所周知,很多安全问题是爆发在内部的,因此有了零信任的说法。内网能够比较容易地接触在成功接触集群之后,仅仅通过对 HostPath 的使用,就有机会对集群和运行其上的工作负载进行窥探,甚至进行写入操作。

下面会分为三个部分,分别介绍可能接触集群的方法,入侵危害、以及建议的防范手段。

接触集群

要入侵一个集群,通常需要用某种方式和集群进行接触,通常方式有几种:

意外暴露无鉴权的明文端口

部分集群管理员为了方便访问,或者其他历史遗留原因,选择使用无鉴权的 API Server,或者暴露 Kubelet 的只读端口。

意外暴露 Dashboard 类服务

很多同学偏爱图形化的 Dashboard 服务,这类服务通常需要有较高的授权级别,可以运行较多的管理任务。

安装恶意应用

现在很多软件使用 curl | kubectl -f - 的形式进行快速安装,对于有外网访问能力的 Kubernetes 集群来说,不加验证的运行未知应用,随时处于引狼入室的威胁之中。

Kubeadm 安装后会缺省提供一个 admin.conf 文件,其中包含了集群管理员身份的客户端证书,能够完全控制集群。

公有云账号

GKE、AKS 等集群环境,其 Kubernetes 账号是来自公有云的,因此公有云对容器集群具有全权处置的能力,其中也包含生成集群管理员的能力。

建议严格管理公有云相关账号,根据使用责任对不同系统进行分离。

入侵危害

敏感文件

Pod 中加载了敏感文件之后,可能通过 cp 获取这些文件,甚至还可以尝试使用 exec 进行写入工作。随便举几个例子:

  • /etc
  • /root
  • /var/lib

这些位置的文件包含了身份证书、信任链、各种配置文件,被读取,破坏、甚至被篡改会发生什么呢?

服务发现

以 Pod 为基础,能够访问集群内的各种服务,进一步扩散影响范围。

防范

  1. 使用 PSP 或者 OPA/Kyverno 等策略工具,限制 hostPath 的加载,必须加载的,也应该控制在指定目录。
  2. 控制镜像来源,杜绝不明来源的镜像进入集群。
  3. 启用审计策略。
  4. /etc/kubernetes/*~/.kube 设置权限为 600。
  5. 管理员身份的 kubeconfig 文件应该单独存放。如有可能,应该使用 OIDC 等第三方进行登录。
  6. 使用 RBAC 为特定职责的用户开放最小权限,严格控制 exec attach portforward 等权限。
  7. Kubelet、APIServer 的明文端口必须关闭。
  8. 使用网络策略,防止未经明确放行的服务访问。

文章来源于互联网:Kubernetes 中 HostPath 的风险和防范

赞(0)
未经允许不得转载:莱卡云 » Kubernetes 中 HostPath 的风险和防范