这些Kubernetes常见安全问题,你遇到过几个?
导语:在 Threat Stack 公布的2020年第一季度安全报告中,列举了在AWS Web服务部署Kubernetes的组织所遇到的最常见安全问题。
该报告建议已部署Kubernetes的IT组织在使用AWS Elastic Kubernetes Service(EKS)时应解决以下问题:
一些EKS负载平衡器的孤立安全组:充当EKS入口控制器的负载平衡器被分配了默认安全组。90天后,AWS会自动清除这些权限。
但是,Threat Stack建议组织在不使用负载平衡器后应主动删除它们。
多租户EKS网络不匹配:EKS集群将Amazon VPC CNI插件用于Kubernetes,从而使其能够代表AWS虚拟私有云(VPC)上的Pod。
报告发现,这还不足以支持Kubernetes网络策略,除非组织还部署了Calico网络虚拟化软件实例。
由于容器网络接口(CNI)插件如何映射到AWS弹性网络接口(ENI),因此CNI每个节点只能支持一个安全组。
威胁堆栈警告说,当EKS在同一节点上调度不相关的吊舱时,这可能会产生问题。
入侵者使用aws-iam-authenticator进行EKS侦查:可疑用户已将用于通过身份访问管理(IAM)凭据访问EKS群集的合法aws-iam-authenticator工具下载到EKS容器中的/ tmp目录中。
然后,用户使用AWS CLI访问EKS信息以进一步探查集群。
Threat Stack首席安全官Sam Bisbee说,对于Kubernetes而言,大多数云服务提供商采用的网络安全分担责任方法尤其具有挑战性。
大多数IT团队假定他们负责保护云应用程序,而云服务提供商则保护基础架构。
但是,当涉及到诸如Kubernetes之类的容器平台时,网络安全责任仍然没有得到精确定义。
结果,这些不确定性可能会拖累Kubernetes集群在生产环境中的部署速度。
这都不意味着Kubernetes不会部署在云中。Kubernetes服务是云计算中增长最快的服务之一。
但是,由于越来越多的生产应用程序开始部署到这些服务上,因此网络安全团队开始对这些服务进行越来越严格的审查。
Bisbee说,挑战当然是容器化应用程序的行为与传统的整体式应用程序非常不同,传统的整体式应用程序需要网络安全团队了解时间。
Bisbee指出,总的来说,采用最佳DevSecOps实践的组织在云中的Kubernetes集群上部署应用程序的趋势通常要比未采用云安全性的组织高。
网络安全专业人员可能完全不熟悉容器化应用程序可能需要一段时间。
从理论上讲,容器化的应用程序更安全,因为替换具有漏洞的容器要比修补整体应用程序容易得多。
当然,问题在于,鉴于容器安全专业知识的复杂性和相对缺乏,存在很多犯错的机会。
这些Kubernetes常见安全问题,你遇到过几个?的更多相关文章
- asp.net MVC 常见安全问题及解决方案
asp.net MVC 常见安全问题及解决方案 一.CSRF (Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session rid ...
- (转载)RESTful架构风格下的4大常见安全问题
转载自<RESTful架构风格下的4大常见安全问题>,作者:马伟 伴随着RESTful架构风格的大量应用微服务架构的流行,一些本来难以察觉到的安全问题也逐渐开始显现出来.在我经历过的各种采 ...
- [转]asp.net MVC 常见安全问题及解决方案
本文转自:http://www.cnblogs.com/Jessy/p/3539564.html asp.net MVC 常见安全问题及解决方案 一.CSRF (Cross-site request ...
- Web 开发常见安全问题
不是所有 Web 开发者都有安全的概念,甚至可能某些安全漏洞从来都没听说过.这就是这篇科普文章的存在意义,希望 Web 开发者在开发时能依此逐条检查代码中的安全问题. 注:服务器运维相关的安全注意事项 ...
- 【转】web常见安全问题以及测试方法
web安全是我们测试组一直以来作为和性能测试并驾齐驱的两个重点.开发的过程中还需要着重注意,该转义的地方转义:该屏蔽的地方屏蔽,该过滤的地方过滤等等.年底又到了,势必又有大批的发号抽奖之类的活动开发. ...
- Web开发常见安全问题
转载自: http://blog.csdn.net/fengyinchao/article/details/50775121 不是所有 Web 开发者都有安全的概念,甚至可能某些安全漏洞从来都没听说过 ...
- kubernetes常见日志采集问题和解决方案分析
传统日志与kubernetes日志对比 传统服务 目录固定 重启不会丢失 不用关注标准与错误日志输出 容器服务 节点不固定 重启服务会漂移 需要关注标准与错误日志输出 日志文件重启会丢失 日志目录不固 ...
- Web项目开发中常见安全问题防范
本文章纯粹是个人收藏,其中各种也是略略了解,下面直接贴出知识点./捂脸/捂脸 计算机程序主要就是输入/输出,安全问题由此产生,凡是有输入的地方都可能带来安全风险.根据输入的数据类型,web应用主要有数 ...
- Web项目开发中常见安全问题及防范
计算机程序主要就是输入数据 经过处理之后 输出结果,安全问题由此产生,凡是有输入的地方都可能带来安全风险.根据输入的数据类型,Web应用主要有数值型.字符型.文件型. 要消除风险就要对输入的数据进行检 ...
随机推荐
- JavaScript_Array
Array 概念特点 值的有序集合: 每一个值叫一个元素: 每个元素在数组中有一个位置,以数字表示,称为索引(下标): 元素可以是任何类型 索引从0开始,最大为2的32次方 数组的创建 数组直接量 v ...
- 图解AVL树
1:AVL树简介 二叉搜索树在一般情况下其搜索的时间复杂度为O(logn),但某些特殊情况下会退化为链表,导致树的高度变大且搜索的时间复杂度变为O(n),发挥不出树这种数据结构的优势,因此平衡二叉树便 ...
- 使用NLP从文章中自动提取关键字
背景 在研究和新闻文章中,关键词构成了一个重要的组成部分,因为它们提供了文章内容的简洁表示.关键词在从信息检索系统,书目数据库和搜索引擎优化中定位文章方面也起着至关重要的作用.关键词还有助于将文章分类 ...
- 【轮询】【ajax】【js】【spring boot】ajax超时请求:前端轮询处理超时请求解决方案 + spring boot服务设置接口超时时间的设置
场景描述: ajax设置timeout在本机测试有效,但是在生产环境等外网环境无效的问题 1.ajax的timeout属性设置 前端请求超时事件[网络连接不稳定时候,就无效了] var data = ...
- Python - 生成随机验证码的3种实现方式
生成6位随机验证码的3种实现方式如下: 1. 简单粗暴型:所有数字和字母都放入字符串: 2. 利用ascii编码的规律,遍历获取字符串和数字的字符串格式: 3. 引用string库. 方法1代码: i ...
- 小程序里json字符串转json对象需注意的地方
一.JSON字符串转换为JSON对象 要使用上面的str1,必须使用下面的方法先转化为JSON对象: //由JSON字符串转换为JSON对象 var obj = eval('(' + str + ') ...
- SpringBoot @ConfigurationProperties详解
文章目录 简介 添加依赖关系 一个简单的例子 属性嵌套 @ConfigurationProperties和@Bean 属性验证 属性转换 自定义Converter SpringBoot @Config ...
- Spring boot自定义parent POM
文章目录 概述 不使用Parent POM来引入Spring boot 覆盖依赖项版本 概述 在之前的Spring Boot例子中,我们都会用到这样的parent POM. <parent> ...
- 【Linux常见命令】cut命令
cut - remove sections from each line of files 参数: -b 可以按字节来查看文件中的内容 -b参数用在中文上,容易出现乱码问题.因为中文字符一个字符占两个 ...
- Extmail邮件过滤和杀毒
前面整合好了extmail,不过没有测试使用foxmail这种客户端去测试收发邮件功能,今天测试的时候发现了蛮多问题,大部分和/etc/authmysqlrc这个文件的配置和权限相关,都是小问题,折腾 ...