日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

NSA和CISA聯(lián)合發(fā)布Kubernetes安全加固建議。

Kubernetes是在云端部署、擴(kuò)展和管理容器APP的非常流行的開源解決方案，也是網(wǎng)絡(luò)攻擊的目標(biāo)。黑客攻擊Kubernetes系統(tǒng)的目標(biāo)包括竊取數(shù)據(jù)、加密貨幣挖礦、DoS攻擊等。為幫助企業(yè)更好地對Kubernetes系統(tǒng)進(jìn)行安全加固，2021年8月3日，美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)聯(lián)合發(fā)布加強(qiáng)Kubernetes系統(tǒng)安全的建議，為管理員更安全地管理Kubernetes提供安全指南。

指南稱，Kubernetes環(huán)境被黑的主要誘因是供應(yīng)鏈攻擊、惡意攻擊者和內(nèi)部威脅。雖然管理員無法應(yīng)對這3種威脅，但可以通過避免錯誤配置、減小安全風(fēng)險等方式來加固Kubernetes系統(tǒng)。

針對Kubernetes系統(tǒng)安全風(fēng)險的防護(hù)措施包括掃描容器和pod的bug和錯誤配置、使用最小權(quán)限來運行pod和容器、進(jìn)行網(wǎng)絡(luò)隔離、強(qiáng)認(rèn)證、防火墻、審計日志等。管理員還應(yīng)定期檢查所有的Kubernetes配置，確保系統(tǒng)應(yīng)用了最新的補(bǔ)丁和可用更新。

Kubernetes Pod 安全加固建議：

• 以非root用戶運行基于容器的應(yīng)用;
• 盡可能地以不可變的文件系統(tǒng)運行容器;
• 掃描容器鏡像中可能的漏洞和錯誤配置;
• 使用Pod安全策略來強(qiáng)制實現(xiàn)最小等級的安全，包括：

●預(yù)防高權(quán)限的容易;

●拒絕常被黑客利用的容器特征，如hostPID、hostIPC、hostNetwork、allowedHostPath。

●拒絕以root用戶或允許提權(quán)到root的容易執(zhí)行;

●使用SELinux、AppArmor 、seccomp等安全服務(wù)來加固應(yīng)用防止被利用。

網(wǎng)絡(luò)隔離和加固：

• 使用防火墻和基于角色的訪問控制來鎖定對控制面板的訪問;
• 進(jìn)一步限制對Kubernetes etcd服務(wù)器的訪問;
• 配置控制面板組件來使用經(jīng)過認(rèn)證的、加密的通信，如TLS;
• 設(shè)置網(wǎng)絡(luò)策略來隔離資源。不同命名空間下的pod和服務(wù)仍然互相通信，除非有其他的隔離策略實現(xiàn);
• 將所有的憑證和敏感信息保存在Kubernetes Secrets而不是配置文件中。使用強(qiáng)加密方法來加密secrets。

認(rèn)證和授權(quán)：

• 禁用匿名登錄(默認(rèn)是開啟的);
• 使用強(qiáng)用戶認(rèn)證;
• 使用基于角色的訪問控制策略來限制管理員、用戶和服務(wù)賬戶的活動。

日志審計：

• 啟用審計日志功能(模式是禁用的);
• 通過日志確保node、pod和容器級的可用性;

更新和應(yīng)用安全實踐：

• 立刻應(yīng)用安全補(bǔ)丁和更新;
• 執(zhí)行周期性的漏洞掃描和滲透測試;
• 不用時即在環(huán)境中移除組件。

完整的Kubernetes安全加固指南參見：https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

本文翻譯自：https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/如若轉(zhuǎn)載，請注明原文地址。

新聞名稱：NSA發(fā)布Kubernetes安全加固建議
標(biāo)題鏈接：http://www.5511xx.com/article/dpppohp.html