Kubernetes報告了其開源安全審計(jì)的結(jié)果

Kubernetes是什么?業(yè)務(wù)流程如何重新定義數(shù)據(jù)中心

在四年多一點(diǎn)的時間里，這個誕生于谷歌內(nèi)部容器管理工作的項(xiàng)目已經(jīng)顛覆了VMware、微軟、Oracle以及其他所有可能成為數(shù)據(jù)中心之王的公司的最佳計(jì)劃。

除非你一直生活在巖石下，否則幾乎每天都會出現(xiàn)新的軟件安全問題。云本地計(jì)算基金會(CNCF)的人肯定注意到了這一點(diǎn)。因此，當(dāng)需要對最重要的容器編制程序Kubernetes進(jìn)行安全審計(jì)時，CNCF嘗試了一種開源方法來檢查它的安全問題。

這不是一個新想法。這要?dú)w功于“核心基礎(chǔ)設(shè)施倡議”(CII)最佳實(shí)踐徽章計(jì)劃。獲得此認(rèn)證的開源項(xiàng)目必須表明它們遵循安全最佳實(shí)踐。CII在其他三個項(xiàng)目中使用了這種方法:CoreDNS、Envoy和Prometheus。然后，它把它用在一個大的:Kubernetes。

由于Kubernetes是一個龐大的項(xiàng)目，其功能從API網(wǎng)關(guān)到容器編制再到網(wǎng)絡(luò)等等，CNCF的第三方安全審計(jì)工作組跟蹤了Kubernetes最常用的8個組件:

他們發(fā)現(xiàn)，雖然Kubernetes已經(jīng)被廣泛部署，但它需要大量的安全工作。報告中所述的鉆頭軌跡:

“評估團(tuán)隊(duì)發(fā)現(xiàn)Kubernetes的配置和部署非常重要，某些組件具有令人困惑的默認(rèn)設(shè)置、缺少操作控制和隱式設(shè)計(jì)的安全控制?！?/p>

至于代碼，它說，“Kubernetes代碼庫的狀態(tài)有很大的改進(jìn)空間?！?/p>

具體來說，該團(tuán)隊(duì)發(fā)現(xiàn)了34個重要的Kubernetes漏洞:4個是高度嚴(yán)重的;15個中等嚴(yán)重程度;八低嚴(yán)重性;和七個信息嚴(yán)重性。Kubernetes 1.13.9、1.14.5和1.15.2的新版本中已經(jīng)修復(fù)了兩個最嚴(yán)重的bug: CVE-2019-11247和CVE-2019-11249。前者允許一個名稱空間中的用戶訪問集群范圍內(nèi)的資源。后者允許攻擊者濫用kubectl cp命令在客戶端計(jì)算機(jī)上創(chuàng)建或替換文件。

Kubernetes用戶應(yīng)該仔細(xì)閱讀審計(jì)報告。要確保Kubernetes集群為您和您的客戶安全工作，還有很多工作要做。

盡管這個團(tuán)隊(duì)為開發(fā)人員和管理員都做了很多工作，但是CNCF將被用來發(fā)現(xiàn)和公開揭露Kubernetes的問題?，F(xiàn)在它們已經(jīng)公開了，可以修復(fù)了。正如每天不斷出現(xiàn)的新安全漏洞所顯示的那樣，除了攻擊者之外，保持安全隱患的沉默對任何人都沒有好處。