張晉濤-生產環境下的k8s安全困境及應對措施-張晉濤（GOTC上海會場）（26頁）.pdf

1、開源云原生計算時代論壇專場張晉濤 2021年07月10日本期議題：生產環境下的 K8K 安全困境及應對措施個人介紹張晉濤支流科技Apache APISIX committerKubernetes ingress-nginx reviewercontainerd/Docker/Helm/Kubernetes/KIND contributorK8S 生態周報的維護者https:/ CI/CD容器技術的優勢容器技術的弊端隔離性不足共享內核K8S環境下的安全挑戰攻擊面增加供應鏈攻擊權限提升網絡安全資源安全數據安全組件安全運行時安全K8S環境下的安全挑戰K8S自身組件底層容器運行時攻擊面增加 CVE-2

2、019-11253:發送大型YAML/JSON對kube-apiserver DoS K8S環境下安全問題的應對方式定義邊界kube-apiserver 放在 LB 后,或者不暴露在公網Node 禁止 SSH 最小化權限攻擊面增加K8S環境下的安全挑戰不易生成 SBOM（軟件材料清單）惡意容器鏡像鏡像內軟件漏洞供應鏈攻擊圖源：https:/nishakm.github.io/code/metadata/K8S環境下安全問題的應對方式使用可信基礎鏡像（Docker官方鏡像）及時更新不安裝debug工具Distroless鏡像漏洞掃描DevSecOps供應鏈攻擊K8S環境下的安全挑戰RBAC不合理

3、(各種 controller/operator 中常見)進入 Pod 內可操作 API基礎軟件提權權限提升K8S環境下安全問題的應對方式RBAC 配置review如何開啟 audit logaudit-log-pathaudit-policy-file權限提升K8S環境下安全問題的應對方式Audit log 可記錄操作行為，響應狀態碼，UA，時間等authorization.k8s.io/reason：說明了 RBAC 規則決策的原因權限提升K8S環境下的安全挑戰惡意訪問容器身份未標識鏈接未加密外層網關提供入口保護（南北向流量）網絡安全K8S環境下安全問題的應對方式使用NetworkPolic

4、y控制進出流量規則網絡安全Network Policy Editor:https:/editor.cilium.io/0K8S環境下安全問題的應對方式service meshmTLS東西向流量網絡安全K8S環境下的安全挑戰資源超售過度征用資源OOM驅逐資源安全K8S環境下安全問題的應對方式為 namespace設置 Limit Range設置 request 和 limit合理的 QoSGuaranteedBurstableBestEffort資源安全K8S環境下的安全挑戰Secrets not secretBase64 編碼etcd 中數據可獲取數據安全K8S環境下安全問題的應對方式Kube

5、rnetes Secrets Store CSI Driverkubernetes-sigs/secrets-store-csi-driver支持多種密鑰存儲供應商AWSAzureGCPVault數據安全K8S環境下的安全挑戰CVE 漏洞及 POC配置不規范直接暴露在公網匿名訪問組件安全K8S環境下安全問題的應對方式關注CVE漏洞及 POC及時升級或繞過漏洞不直接暴露在公網或增加認證關閉匿名訪問組件安全K8S環境下的安全挑戰惡意操作被攻擊非預期行為未解決的漏洞不安全配置用戶證書泄漏運行時安全K8S環境下安全問題的應對方式Falco運行時安全K8S環境下安全問題的應對方式Kubernetes Security Profiles Operatorseccomp is GA權限最小化運行時安全總結權限最小化使用 Apache APISIX 等LB提供邊界安全 及時關注安全漏洞和更新優化配置關注日志K8S生態周報https:/