چگونه از زیرساخت Kubernetes خود در برابر آسیب پذیری Argo CD محافظت کنید

یک آسیب‌پذیری روز صفر در Argo CD می‌تواند اطلاعات حساسی مانند گذرواژه‌ها و کلیدهای API را در معرض خطر قرار دهد. آیا شما محافظت می کنید؟

Argo CD یک پلت فرم منبع باز، تحویل مداوم (CD) محبوب برای Kubernetes است که توسط صدها سازمان در سراسر جهان استفاده می شود. اخیراً یک آسیب‌پذیری جدی در Argo CD توسط Apiiro کشف شد که مهاجمان را قادر می‌سازد به اطلاعات حساسی مانند اسرار، رمزهای عبور و کلیدهای API دسترسی داشته باشند. این آسیب‌پذیری با عنوان CVE-2022-24348.

با توجه به اینکه نمودار Helm مخرب به طور بالقوه می تواند اطلاعات حساس ذخیره شده در یک مخزن Git را در معرض خطر قرار دهد و همچنین از طریق برنامه هایی که به مهاجمان اجازه می دهد اسرار، نشانه ها و داده های حساسی را که در داخل آن قرار دارند رازها، نشانه ها و داده های حساسی را که در آن قرار دارند را بخوانند، «پرسه بزند»، درجه بندی خطر بالا داده شده است. برنامه های کاربردی.

نکاتی برای محافظت ماندن

تیم پشت Argo CD به سرعت وصله‌ای ارائه کرد که سازمان‌های آسیب‌دیده باید در اسرع وقت اعمال کنند زیرا این آسیب‌پذیری همه نسخه‌های ابزار را تحت تأثیر قرار می‌دهد. این وصله از طریق مخزن Argo CD’s GitHub در دسترس است .

در حالی که امروز می‌توانید برای محافظت از سازمان خود در برابر آسیب‌پذیری CD Argo اقدام فوری انجام دهید، مهم است که در مورد راه‌هایی برای محافظت در برابر آسیب‌پذیری‌های Kubernetes آینده فکر کنید.

در اینجا برخی از تاکتیک‌ها و اقدامات کلیدی وجود دارد که می‌توانید برای اطمینان از اینکه سازمان شما وضعیت امنیتی بالایی دارد، اجرا کنید:

• حاکمیت زنجیره تامین نرم‌افزار: تضمین می‌کند که فقط مؤلفه‌های نرم‌افزار بررسی‌شده و تأیید شده مجاز به کار در خوشه‌های Kubernetes هستند.
• دسترسی صفر-اعتماد: به سازمان‌ها اجازه می‌دهد تا یک مدل تأمین اعتبار به‌موقع (JIT) را برای دسترسی کاربر و سیستم به خوشه‌ها پیاده‌سازی کنند تا اطمینان حاصل کنند که هیچ‌گونه معلق دائمی و خارج از آن وجود ندارد. -همگام سازی اعتبارنامه ها این کار از درهای پشتی احتمالی جلوگیری می کند و سطح حمله را به میزان قابل توجهی کوچک می کند.
• کنترل دسترسی مبتنی بر نقش (RBAC): تفکیک وظایف را اجرا کنید تا هیچ کاربر یا سیستمی در حالت خدا کار نکند. اطمینان حاصل کنید که کاربران و سیستم های خارجی فقط حداقل سطح دسترسی مورد نیاز خود را در خوشه ها دارند.
• مدیریت اسرار: اطمینان حاصل می‌کند که اسرار به صورت پویا از یک منبع اصلی حقیقت بازیابی می‌شوند که در صورت لزوم امکان چرخش اسرار را به میل خود فراهم می‌کند.
• SaaS: در صورت امکان از یک ارائه دهنده SaaS برای خدمات استفاده کنید زیرا آنها می توانند آسیب پذیری ها را خیلی سریع برای همه مشتریان وصله کنند و به کوچک شدن چشمگیر پنجره حمله کمک کنند.

واقعیت این است که نقض‌های امنیتی اتفاق می‌افتد، و به ویژه در دنیای منبع باز Kubernetes رخ خواهد داد. خوشبختانه، Argo CD توانست بلافاصله پس از فاش شدن آسیب پذیری خود، یک پچ را اعمال کند.

با این حال، با علم به این که امنیت احتمالاً همچنان یک نگرانی خواهد بود، بهتر است تا حد امکان امروز برای حوادث آینده آماده شوید. دشوار است که دقیقاً بدانید چه چیز دیگری ممکن است رخ دهد، اما پیروی از پنج روش برتر ذکر شده در بالا، محافظت از شما را افزایش می دهد.

Mohan Atreya معاون محصولات و راه حل ها در Rafay Systems، ارائه دهنده سکوی عملیات کوبرنتس.

—

New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.