近日,科技新聞界傳來一則關于Kubernetes安全性的重要警報。據bleepingcomputer報道,微軟在其最新的安全研究中指出,使用Kubernetes進行應用部署時,特別是通過Helm charts進行快速部署,存在重大的安全隱患。
Kubernetes,這一開源平臺,因其能夠自動化地部署、擴展及管理容器化應用而廣受歡迎。Helm,作為Kubernetes的包管理工具,通過charts大大簡化了復雜應用的部署流程。然而,微軟Defender for Cloud Research團隊的研究人員Michael Katchinskiy和Yossi Weizman卻發現,許多Helm charts的默認配置中缺少了關鍵的安全措施。
研究人員警告,對于缺乏云安全經驗的用戶來說,直接使用這些默認配置可能會將服務無意間暴露在互聯網上,從而增加了被攻擊者掃描并利用漏洞的風險。這一問題在現成的Helm charts中尤為突出。
為了具體說明這一問題,微軟在其報告中列舉了三個典型的案例。Apache Pinot的Helm chart通過Kubernetes LoadBalancer服務暴露了核心組件,如pinot-controller和pinot-broker,且未設置任何身份驗證措施。Meshery則可以通過暴露的IP地址進行公開注冊,使得任何人都有可能獲取集群的操作權限。而Selenium Grid則通過NodePort在所有集群節點上暴露了服務,僅僅依賴于外部防火墻進行保護。
值得注意的是,盡管官方的Helm chart可能不存在這些問題,但在GitHub上的許多項目中,類似的安全隱患仍然普遍存在。事實上,網絡安全公司Wiz曾發現攻擊者利用Selenium Grid的配置錯誤,部署了XMRig礦工來挖掘Monero加密貨幣。
針對這一現狀,微軟強烈建議用戶在使用Helm charts時,從安全角度出發,仔細審查其默認配置,確保包含了身份驗證和網絡隔離等關鍵的安全措施。微軟還建議用戶定期掃描公開暴露的工作負載接口,并密切監控容器中的可疑活動,以防止潛在的安全威脅。
研究人員進一步強調,如果不仔細檢查YAML文件和Helm charts,企業可能會在沒有任何保護的情況下部署服務,從而完全暴露在攻擊者的威脅之下。這一警告無疑為所有使用Kubernetes和Helm進行應用部署的企業和個人敲響了警鐘。
微軟還建議,為了提高整體的安全性,企業可以考慮采用更為嚴格的訪問控制和身份驗證機制,以及加強網絡安全培訓和意識提升,確保所有員工都能夠充分認識到并遵守最佳的安全實踐。
最后,隨著云計算和容器化技術的不斷發展,安全性的挑戰也將日益復雜。因此,微軟呼吁所有相關企業和個人,持續關注最新的安全動態和技術進展,以確保自身的應用和服務始終處于最安全的狀態。
