- 综合排序
- 最热优先
- 最新优先
- 来自专栏Kubernetes GO
Kubernetes 安全警告
Kubernetes 近期爆出两个中级安全漏洞: CVE-2020-8551 CVE-2020-8552 以下为Kubernetes 安全漏洞的说明。 ? Kubernetes上述漏洞在CVSS评级为中等级别,安全风险为DoS攻击。 “未来五年,是kubernetes的黄金五年。” 在这个黄金五年,CNCF组织依托kubernetes等开源项目推进现代云原生的发展,构建现代软件开发技术栈。 ? CVE-2020-8552 说明 攻击者方通过授权的API请求对Kubernetes API Server服务进行拒绝服务攻击。 /kubernetes/issues/89377 [3] https://github.com/kubernetes/kubernetes/issues/89378
1.2K20发布于 2021-02-01 - 来自专栏章工运维
kubernetes安全框架
• K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都 支持插件方式,通过API Server配置来启用插件。 :RBAC RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。 /pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes zpj-csr.json Labels: <none> Annotations: kubernetes.io/service-account.name: dashboard-admin kubernetes.io/service-account.uid: fdf94e5a-5b5f-4d40-95d9-4cb5d2409991 Type: kubernetes.io/service-account-token
48730编辑于 2023-07-21 - 来自专栏Zkeq
Kubernetes | 安全 - Safety
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。 所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 机制说明.pdf 2. 默认挂载目录: /run/secrets/kubernetes.io/serivceaccount 总结 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 认证 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 准入控制.pdf
55840编辑于 2023-05-14 - 来自专栏Kubernetes
Kubernetes集群安全配置
这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。 /dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ``` kube-controller-manager name: my-context current-context: my-context ``` kube-scheduler kube-scheduler访问apiserver的安全配置同 /serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io apiserver了: - 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes
1.5K60发布于 2018-04-16 - 来自专栏CS实验室
Kubernetes 安全机制解读
Kubernetes 安全机制解读 在 k8s 中,所有资源的访问和变更都是围绕 APIServer 展开的。 比如说 kubectl 命令、客户端 HTTP RESTFUL 请求,都是去 call APIServer 的 API 进行的,本文就重点解读 k8s 为了集群安全,都做了些什么。 ? Kubernetes 官方文档给出了上面这张图,描述了用户在访问或变更资源的之前,需要经过 APIServer 的认证机制、授权机制以及准入控制机制。 值得一提的是,Kubernetes 已经内置了很多个为系统保留的 ClusterRole,它们的名字都以 system: 开头。 这一层安全检查的意义在于,检查该请求是否达到系统的门槛,即是否满足系统的默认设置,并添加默认参数。
1.1K40发布于 2021-03-22 - 来自专栏一只程序原
Kubernetes-安全认证
一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 二、认证管理 Kubernetes集群安全的最关键点在于如何识别并认证客户端身份,它提供了3种客户端身份认证方式: HTTP Base认证:通过用户名+密码的方式认证 这种认证方式是把“用户名 HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。 @kubernetes Switched to context "kubernetes-admin@kubernetes". 设置默认的“容忍”时间,为5min PodSecurityPolicy:这个插件用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制
56310编辑于 2023-11-17 - 来自专栏CloudComputing
Kubernetes 1.19.0——安全管理
一旦装好了kubernetes,登录master之后就有了足够的权限 如果想在worker节点上运行并查看集群状态怎么办? kubectl get csr NAME AGE SIGNERNAME REQUESTOR CONDITION john 27s kubernetes.io /legacy-unknown kubernetes-admin Pending [root@vms61 xx]# kubectl get csr NAME AGE SIGNERNAME REQUESTOR CONDITION john 37s kubernetes.io/legacy-unknown kubernetes-admin /legacy-unknown kubernetes-admin Approved,Issued 一旦审批之后,k8s暂且还没有提供任何撤销这个功能 图片7.png [root@vms61
3.6K310发布于 2020-12-16 - 来自专栏绿盟科技研究通讯
好书推荐 — Kubernetes安全分析
一、简介 笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍,作者为LizRice和Michael Hausenbla,两位分别来自美国容器安全厂商Aqua和云服务厂商AWS,并在容器安全研究领域上拥有丰富的软件开发 由上图可以看出,核心章节主要对Kubernetes认证、授权、容器镜像安全、容器运行时安全、密钥管理、编排工具自身安全这六部分进行了详细说明,最后一章针对Kubernetes生态中涉及的监控、告警、审计等安全部分也进行了相应介绍 本书基本涵盖了Kubernetes安全的各个方面,下面我们首先介绍Kubernetes攻击模型。 以上对Kubernetes组件的安全防御措施属于配置核查类,作者也提供了两种检查Kubernetes配置的方法: CIS Security Benchmark 与Docker安全基准类似,Kubernetes 本书作者从安全的角度给读者系统的介绍了使用Kubernetes时可能存在的安全问题及如何进行防护,内容几乎覆盖了Kubernetes的方方面面,对于想了解Kubernetes安全的人而言,本书是非常好的一本入门书籍
2.8K30发布于 2020-06-04 - 来自专栏云原生实验室
Kubernetes 最佳安全实践指南
前言 对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。 实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。 对于 Kubernetes 来说,大多数容器运行时都提供一组允许或不允许的默认系统调用。 通过使用 runtime/default 注释或将 Pod 或容器的安全上下文中的 seccomp 类型设置为 RuntimeDefault,可以轻松地在 Kubernetes 中应用默认值。 提供了非常多的选项来增强集群的安全性,没有一个放之四海而皆准的解决方案,所以需要对这些选项非常熟悉,以及了解它们是如何增强应用程序的安全性,才能使集群更加稳定安全。
1K30发布于 2020-12-14 - 来自专栏程序猿DD
Kubernetes 最佳安全实践指南
前言 对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。 实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。 对于 Kubernetes 来说,大多数容器运行时都提供一组允许或不允许的默认系统调用。 通过使用 runtime/default 注释或将 Pod 或容器的安全上下文中的 seccomp 类型设置为 RuntimeDefault,可以轻松地在 Kubernetes 中应用默认值。 提供了非常多的选项来增强集群的安全性,没有一个放之四海而皆准的解决方案,所以需要对这些选项非常熟悉,以及了解它们是如何增强应用程序的安全性,才能使集群更加稳定安全。
86420编辑于 2023-04-04 - 来自专栏让技术和时代并行
从 Kubernetes 安全到云原生应用安全
实施 DevSecOps的工程团队实践和自动化安全工具将更早发现安全风险,节省开发人员时间,加快发布周期,并交付更安全和合规的代码。 组织需要一种结构化的方法,让领导者参与进来、动员安全拥护者,并确保“安全”成为“完成的定义”不可或缺的一部分。 此外,通过确保工程、安全和运营之间的一致性,鼓励开发人员“提高技能”,并专注于学习和实施有助于提高 Web 应用程序安全性的技术,更重要的是,使团队能够更早地转移安全性进入设计和编码阶段。 OWASP Top 10 鼓励将安全性集成到 CI/CD 管道、参数化查询、验证所有输入、实施错误处理、改进日志记录策略、利用安全框架的优势、保护静态数据和加密、减少敏感数据暴露等准则,实施安全访问控制等 摆脱这种模式实际上代表了安全团队的重大转变,安全团队习惯于强迫开发人员遵守他们的流程和工具。
99730编辑于 2023-03-18 - 来自专栏云云众生s
Kubernetes安全态势管理(KSPM)指南
常见的 Kubernetes 配置错误以及如何避免它们 由于配置错误、工具差距或培训不足导致的安全能力“紧张”,不良的安全态势会影响您响应新出现的威胁的能力。 保护控制平面和 API 访问 一种经常被忽视的 Kubernetes 安全措施是保护控制平面,它通常在托管 Kubernetes 服务中公开。 Kubernetes 姿势中的其他安全措施增强了事件检测和响应能力。 为容器运行时安全性使用准入控制器 并非所有 KSPM 解决方案都提供准入控制,但它对于 Kubernetes 部署中的安全性至关重要。 保护您的东西向流量 虽然 Kubernetes 集群是一个安全边界,但将其视为对主机和网络拓扑的抽象至关重要。
87010编辑于 2024-05-23 - 来自专栏让技术和时代并行
Kubernetes安全挑战以及如何应对
但是Kubernetes是一个大型、复杂的平台;在规模扩大以后,Kubernetes平台自身身的安全问题如何解决?应该采取什么策略来保证应用的安全部署?下面我从四个方面说明如何缓解这些挑战。 功能丰富的Kubernetes平台可能会认为默认该功能具有挑战性,但是弄清楚默认功能是必不可少的。 组织可以使用安全性基准来增强Kubernetes的安全性。 例如,Internet安全中心提供了配置指南,以加强包括Kubernetes在内的系统以抵抗不断发展的网络威胁。 列举出来Kubernetes集群面临的威胁有哪些? 如果您没有人力或时间独自加强Kubernetes安全性。 另外在做安全性方面的考虑时,应该尽可能使用和参考随时可用的工具和技术,而不是闷头造车;比如Kubernetes社区给我门提供了RBAC、pod安全策略、网络策略、服务网格、operators等安全性方案
65430编辑于 2023-03-18 - 来自专栏伪架构师
简介:CIS Kubernetes 安全基准指南
在使用 Kube Bench 的过程中注意到,其指导依据来自于 CIS Benchmark,于是顺藤摸瓜,下载了 CIS Kubernetes Be nchmark 的 PDF 版本,全文有两百多页,阅读量还蛮大的 二级:仅建议在非常强调安全性的系统中使用,可能对系统有副作用。 另外还将具体的检测结果分为计分和不计分两种结果。 以上两个维度可以用来对系统进行现状评估,也有助于读者选择性地采纳加固措施。
2.7K20发布于 2020-02-26 - 来自专栏架构驿站
Kubernetes 安全:2022 年最佳实践
然后,再深入探讨 Kubernetes 安全的“4C”框架,并介绍一些主动解决安全漏洞的策略。 Kubernetes 及其组件 要了解 Kubernetes 的安全性,我们需要深入学习 Kubernetes 在高层次上是如何工作的。 考虑到这种架构,让我们探索一些适用于 Kubernetes 环境的安全最佳实践。 因此,可以在 Kubernetes 安全性的 4C 上下文中考虑安全性:云、集群、容器和代码。 安全的 Kubernetes 基本配置 开始使用 Kubernetes 时,会为业务所处的环境进行基本配置。但是,这些本质上并不安全。
1.1K80编辑于 2022-03-25 - 来自专栏伪架构师
(译)33 个 Kubernetes 安全工具
Kubernetes 的安全工具多得很,有不同的功能、范围以及授权方式。 Kubernetes 安全工具——分类 为了方便读者浏览目录,我们把这些工具按照主要功能和范围进行了分类: Kubernetes 镜像扫描和静态分析 Kubernetes 运行时安全 Kubernetes 网络安全 镜像分发和机密管理 Kubernetes 安全审计 端到端的 Kubernetes 安全商业产品 我们最爱的容器编排平台已经成熟,会有越来越多的 Kubernetes 安全工具涌现出来,如果读者发现我们列表的错漏 Linux 运行时安全框架 原生的 Linux 框架其实不能算作是“Kubernetes 安全工具”,但它们的运行时安全上下文是可以包括在 Kubernetes 的 Pod 安全策略之中的(PSP),所以还是值得一提 Kubernetes 资源是否使用了较弱的安全参数。
1.8K20发布于 2019-07-22 - 来自专栏运维研习社
Kubernetes安全加固的几点建议
本文结合云原生计算基金会(CNCF)、美国国家安全局(NSA)以及网络安全和基础设施安全局(CISA)的诸多最佳实践,整理出Kubernetes安全加固的6个建议,帮助组织降低风险。 对于使用托管Kubernetes服务(比如GKE、EKS或AKS)的用户而言,由相应的云提供商管理主节点安全,并为集群实施各种默认安全设置。 准则如下: GKE加固指南 EKS安全最佳实践指南 AKS集群安全 至于自我管理的Kubernetes集群(比如kube-adm或kops),kube-bench可用于测试集群是否符合CIS Kubernetes 在安全上下文中,Kubernetes允许配置容器是否可以以特权或root身份来运行,或者将权限升级到root。用户还可以限制hostPID、hostIPC、hostNetwork和hostPaths。 总结 由于云原生系统很复杂,需要采用多层方法来保护Kubernetes环境。建议Kubernetes做好云原生安全的4C:云、集群、容器和代码。
1.6K30编辑于 2022-09-21 - 来自专栏王先森
Kubernetes云原生安全渗透学习
在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法,本文非常适合刚入门或者准备学习云安全方向的安全人员,每个步骤都是亲手复现整理 Kubernetes用户管理 Kubernetes 集群中包含两类用户:一类是由 Kubernetes管理的service account,另一类是普通用户。 请求的最后一个步骤,一般用于拓展功能,如检查 pod 的resource是否配置,yaml配置的安全是否合规等。 中默认开启使用最多的一种,也是最安全的一种。 目前在k8s默认的安全配置下,Kubelet API是需要安全认证的。
2.1K30编辑于 2023-04-24 - 来自专栏木二天空
034.Kubernetes集群安全-Secret
将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全,也更便于使用和分发。 VERXlNRGsxTWpVM05rQXhNall1WTI5dE9uZzNNemMwTlRJeEtnPT0iCgkJfQoJfSwKCSJIdHRwSGVhZGVycyI6IHsKCQkiVXNlci1BZ2VudCI6ICJ 9 Eb2NrZXItQ2xpZW50LzE4LjAxxxxxxxxxxxxxxx 10 type: kubernetes.io 三 secret其他注意点 3.1 secret注意点 每个单独的Secret大小不能超过1MB,Kubernetes不鼓励创建大的Secret,因为如果使用大的Secret,则将大量占用API Server
56210发布于 2020-03-23 - 来自专栏CNCF
常见的Kubernetes配置安全威胁
保护Kubernetes中的工作负载是整个集群安全性的一个重要部分。总体目标应该是确保容器以尽可能少的特权运行。这包括避免特权升级、不以根(root)用户身份运行容器以及尽可能使用只读文件系统。 由于疏忽或缺乏经验,安全漏洞可能会进入生产。在团队试图平衡工程速度与安全的反动速度时,交付速度与关键的安全防护措施常常会产生分歧。这种平衡行为可能导致混乱的Kubernetes配置和不必要的风险。 导致脆弱部署的常见Kubernetes安全配置 那么,您如何快速和主动识别Kubernetes的安全错误配置,以防止破坏?根据我们的经验,常见的Kubernetes安全配置错误会导致部署脆弱。 安全威胁,团队需要一种方法来快速检查kubernetes pods和容器的securityContext属性中的配置。 通过审计工作负载并验证弱点、容器漏洞和配置错误的部署配置,使用配置验证工具提供了对组织Kubernetes安全态势的可见性,这将有所帮助。
58430发布于 2020-08-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号