خطرناک ترین حفره های امنیتی اغلب ابتدایی ترین هستند. با رفع این اشتباهات ساده، وضعیت امنیتی Kubernetes خود را بهبود بخشید.
امروز، اگر در حال ایجاد یا کار با برنامههای بومی ابری هستید، تقریباً مطمئناً با Kubernetes کار میکنید. بر اساس گزارش CNCF اخیر، ۹۶% از سازمانها از هر دو استفاده میکنند. یا ارزیابی Kubernetes. Kubernetes در حال حاضر ۵.۶ میلیون کاربر در سراسر جهان دارد که ۳۱٪ از توسعه دهندگان پشتیبان را تشکیل می دهند و به سرعت در حال تبدیل شدن به سیستم عامل واقعی برای برنامه های ابری است.
استفاده از Kubernetes سال به سال به رشد خود ادامه میدهد، و با افزایش حجم دادههای حساس در پلتفرم، انگیزه مهاجمان برای سوء استفاده از آن نیز افزایش مییابد. تلاش برای ایمن سازی محیط های کاملاً جدید می تواند بسیار دلهره آور به نظر برسد، اما اکثریت قریب به اتفاق مسائل امنیتی به چند اشتباه اساسی خلاصه می شود که رفع آنها نسبتاً آسان است.
در اینجا هفت مزخرف امنیتی بزرگ برای Kubernetes وجود دارد—همه با اصلاحات ساده.
پیکربندی های پیش فرض
بسیاری تصور می کنند که پیکربندی کلاستر پیش فرض از منظر امنیتی به اندازه کافی خوب است، اما این یک اشتباه است. تنظیمات پیشفرض Kubernetes دارای درجه امنیتی نیستند، و در عوض برای ایجاد حداکثر انعطافپذیری و چابکی توسعهدهندگان طراحی شدهاند. مشتریان باید اطمینان حاصل کنند که خوشه های خود را برای امنیت مناسب به درستی پیکربندی می کنند.
چند مدیر
اجازه دادن به چندین مهندس برای استفاده از نقشهای بسیار ممتاز مانند CLUSTER_ADMIN برای عملیات روزانه در یک خوشه همیشه یک اشتباه است. این نقش باید فقط برای مدیریت سایر نقش ها و کاربران استفاده شود. داشتن چندین سرپرست با سطح دسترسی CLUSTER_ADMIN، حساب های بیشتری را برای هکرها فراهم می کند که از طریق آنها می توانند با دسترسی کامل به کلستر، وارد سیستم شما شده و از آنها سوء استفاده کنند.
بدون محدودیت دسترسی
بسیاری از مدیران محدودیتهایی برای نوع دسترسی توسعهدهندگان به خوشههای dev/stage/prod تعیین نمیکنند. هر توسعه دهنده ای برای نقش خود به دسترسی کامل به تمام محیط های مختلف نیاز ندارد. در واقع، تنها دسترسی اکثر توسعه دهندگان باید به لاگ ها باشد. اجازه دسترسی نامحدود به توسعه دهندگان عمل بدی است. مشابه داشتن چندین سرپرست، این اشتباه می تواند توسط هکرهایی مورد سوء استفاده قرار گیرد که می توانند از این دسترسی نامحدود برای حرکت جانبی در داخل سیستم شما استفاده کنند، مهم نیست که به چه حسابی دسترسی داشته باشند.
با فرض جداسازی
این فرض که شبکه خوشه ای از بقیه VPC ابری جدا شده است می تواند باعث شود بسیاری از شرکت ها نیاز به ایمن سازی آن را نادیده بگیرند. فقدان امنیت یک نقطه ورود آسان برای بازیگران بد فراهم می کند.
ایمن نشدن YAML های وارد شده
وارد کردن YAML های عمومی می تواند باعث صرفه جویی در وقت شما و مجبور به اختراع مجدد چرخ شود، اما می تواند پیکربندی های نادرست را به محیط شما وارد کند. شرکتها باید از پیامدهای امنیتی هر YAML که به اکوسیستم خود وارد میکنند آگاه باشند و اطمینان حاصل کنند که هر گونه مشکل پیکربندی وارداتی در اسرع وقت کاهش مییابد.
ذخیره اسرار در ConfigMaps
اسرار دادههای حساسی مانند رمز عبور، رمز یا کلید هستند. برای سهولت، یا گاهی اوقات از روی ناآگاهی، توسعه دهندگان این اسرار را در ConfigMaps ذخیره می کنند و داده های حساس را در معرض هکرهای خارجی قرار می دهند که در صورت دسترسی به ConfigMap، می توانند به منبع مرتبط دسترسی پیدا کنند.
بدون اسکن معمولی
بسیاری از شرکتها هیچ ابزار یا برنامهای برای شناسایی مشکلات در محیطهای Kubernetes خود ندارند. انجام اسکنهای منظم برای پیکربندیهای نادرست و آسیبپذیریها در سریعترین زمان ممکن در چرخه عمر توسعه نرمافزار (SDLC) و خط لوله CI/CD به از بین بردن احتمال ایجاد این مشکلات در تولید کمک میکند.
در حالی که هر شرکتی باید به طور مداوم در تلاش باشد تا جزو ایمنترین شرکتها باشد، میتوانید با اطمینان از اینکه جزو کمترین محافظتشدهها نیستید، شروع کنید. هکرها نمی خواهند خیلی سخت کار کنند. آنها به دنبال ساده ترین راه برای موفقیت هستند. رفع این اشتباهات ساده وضعیت امنیتی Kubernetes شما را بهبود می بخشد، هکرها را که به دنبال اهداف آسان هستند منصرف می کند و شما را در مسیر امنیت بهتر Kubernetes قرار می دهد.
بن هیرشبرگ VP R&D در ARMO. او یک کهنهکار امنیت سایبری است که علاقهمند به امنیت ابری است و عاشق نوشتن اکسپلویتهای باینری، مهندسی معکوس و کار تیمی است. وقتی هیچ کامپیوتری در اطراف وجود ندارد، بن را میتوان در آشپزخانه پیدا کرد که ظرف جدیدی خلق میکند یا ذهن آخرین حریف شطرنج خود را مهندسی معکوس میکند.
—
New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.
پست های مرتبط
۷ اشتباه بزرگ امنیتی Kubernetes
۷ اشتباه بزرگ امنیتی Kubernetes
۷ اشتباه بزرگ امنیتی Kubernetes