Ο Οργανισμός Εθνικής Ασφάλειας (NSA) και ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής (CISA) έχουν δημοσιεύσει ολοκληρωμένες συστάσεις για την ενίσχυση της ασφάλειας του συστήματος Kubernetes ενός οργανισμού.
Δείτε επίσης:
Σύστημα καταγραφής εμβολίων στην Ιταλία δέχτηκε
επίθεση
ransomware
Το Kubernetes είναι μια δημοφιλής λύση ανοιχτού κώδικα για την
ανάπτυξη
, την κλιμάκωση και τη διαχείριση εφαρμογών με container στο cloud, καθιστώντας το ελκυστικό στόχο για
κυβερνοεπιθέσεις
.
Οι χάκερ χτυπούν συνεχώς τα περιβάλλοντα Kubernetes, τα κίνητρά τους ποικίλλουν από την
κλοπή δεδομένων
, την εξόρυξη κρυπτονομισμάτων, το denial-of-service (DoS) που θα μπορούσε να λειτουργήσει ως εκτροπή για άλλες
λειτουργίες
.
Για να βοηθήσουν τις
εταιρείες
να κάνουν το περιβάλλον Kubernetes πιο δύσκολο να παραβιαστεί, η NSA και η CISA δημοσίευσαν μια τεχνική έκθεση 52 σελίδων για την
ασφάλεια
στον κυβερνοχώρο που προσφέρει καθοδήγηση στους διαχειριστές για την ασφαλή διαχείριση του Kubernetes.
Η NSA αναφέρει ότι οι τρεις κύριες αιτίες για ένα παραβιασμένο περιβάλλον Kubernetes είναι οι
επιθέσεις
στην αλυσίδα εφοδιασμού, οι κακόβουλοι παράγοντες και οι
απειλές
από μέσα.
Σε γενικές γραμμές, οι αμυντικές ενέργειες ενάντια σε αυτές τις
απειλές
είναι η σάρωση των containers και των Pods για σφάλματα και εσφαλμένες διαμορφώσεις.
Δείτε επίσης:
Microsoft για BazarCall: Οι αρχικές
επιθέσεις
μπορούν να οδηγήσουν σε ransomware εντός 48 ωρών
Οι διαχειριστές θα πρέπει επίσης να ελέγχουν τακτικά όλες τις ρυθμίσεις του Kubernetes και να διασφαλίζουν ότι το σύστημα έχει λάβει τις πιο πρόσφατες
ενημερώσεις
,
επιδιορθώσεις
και διαθέσιμες αναβαθμίσεις.
Με τίτλο “Kubernetes Hardening Guidance”, το έγγραφο περνά από καθεμία από τις ακόλουθες συστάσεις
ασφαλείας
, με παραδείγματα:
Kubernetes Pod security:
Χρησιμοποιήστε containers που έχουν δημιουργηθεί για την εκτέλεση εφαρμογών ως μη root
χρήστες
-
Όπου είναι δυνατόν, εκτελέστε containers με αμετάβλητα
συστήματα
αρχείων - Σάρωση εικόνων containers για πιθανά τρωτά σημεία ή εσφαλμένες διαμορφώσεις
-
Χρησιμοποιήστε μια
πολιτική
ασφαλείας
Pod για να επιβάλλετε ένα ελάχιστο επίπεδο ασφάλειας
Διαχωρισμός δικτύου και σκλήρυνση:
- Κλείδωμα πρόσβασης σε κόμβους ελέγχου αεροπλάνων χρησιμοποιώντας firewall και έλεγχο πρόσβασης βάσει ρόλων (RBAC)
- Περιορίστε περαιτέρω την πρόσβαση στον Kubernetes server
-
Διαμόρφωση των control panel components για χρήση πιστοποιημένων, κρυπτογραφημένων επικοινωνιών χρησιμοποιώντας
πιστοποιητικά
Transport Layer Security (TLS) -
Ορίστε
πολιτικές
δικτύου για την απομόνωση πόρων. Τα pod και οι
υπηρεσίες
σε διαφορετικούς χώρους ονομάτων μπορούν να επικοινωνούν μεταξύ τους, εκτός εάν επιβληθεί πρόσθετος διαχωρισμός, όπως οι
πολιτικές
δικτύου -
Τοποθετήστε όλα τα credentials και τις ευαίσθητες πληροφορίες στα Kubernetes Secrets και όχι σε αρχεία διαμόρφωσης.
Κρυπτογράφηση
μυστικών χρησιμοποιώντας ισχυρή μέθοδο κρυπτογράφησης
Δείτε επίσης:
Ransomware: Συνηθισμένοι τρόποι εισβολής των χάκερ σε ένα δίκτυο
Έλεγχος ταυτότητας και εξουσιοδότηση:
- Απενεργοποίηση ανώνυμης σύνδεσης (ενεργοποιημένη από προεπιλογή)
- Χρησιμοποιήστε ισχυρό έλεγχο ταυτότητας χρήστη
-
Δημιουργήστε
πολιτικές
RBAC για να περιορίσετε τη δραστηριότητα λογαριασμού διαχειριστή, χρήστη και υπηρεσίας
Log auditing:
- Ενεργοποίηση audit logging (απενεργοποιημένη από προεπιλογή)
-
Επιμείνετε στα αρχεία καταγραφής για να διασφαλίσετε τη
διαθεσιμότητα
σε περίπτωση βλάβης σε επίπεδο node, Pod ή container - Διαμόρφωση καταγραφικού μετρήσεων
Πρακτικές ασφάλειας αναβάθμισης και εφαρμογής:
- Εφαρμόστε αμέσως τα security patches και τα updates
- Εκτελέστε περιοδικές σαρώσεις ευπάθειας και penetration tests
Διαβάστε το πλήρες έγγραφο καθοδήγησης Kubernetes Hardening Guidance [
PDF
] από την NSA και τη CISA.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.