۷ اشتباه بزرگ امنیتی Kubernetes

خطرناک ترین حفره های امنیتی اغلب ابتدایی ترین هستند. با رفع این اشتباهات ساده، وضعیت امنیتی Kubernetes خود را بهبود بخشید.

امروز، اگر در حال ایجاد یا کار با برنامه‌های بومی ابری هستید، تقریباً مطمئناً با Kubernetes کار می‌کنید. بر اساس گزارش CNCF اخیر، ۹۶% از سازمان‌ها از هر دو استفاده می‌کنند. یا ارزیابی Kubernetes. Kubernetes در حال حاضر ۵.۶ میلیون کاربر در سراسر جهان دارد که ۳۱٪ از توسعه دهندگان پشتیبان را تشکیل می دهند و به سرعت در حال تبدیل شدن به سیستم عامل واقعی برای برنامه های ابری است.

استفاده از Kubernetes سال به سال به رشد خود ادامه می‌دهد، و با افزایش حجم داده‌های حساس در پلتفرم، انگیزه مهاجمان برای سوء استفاده از آن نیز افزایش می‌یابد. تلاش برای ایمن سازی محیط های کاملاً جدید می تواند بسیار دلهره آور به نظر برسد، اما اکثریت قریب به اتفاق مسائل امنیتی به چند اشتباه اساسی خلاصه می شود که رفع آنها نسبتاً آسان است.

در اینجا هفت مزخرف امنیتی بزرگ برای Kubernetes وجود دارد—همه با اصلاحات ساده.

پیکربندی های پیش فرض

بسیاری تصور می کنند که پیکربندی کلاستر پیش فرض از منظر امنیتی به اندازه کافی خوب است، اما این یک اشتباه است. تنظیمات پیش‌فرض Kubernetes دارای درجه امنیتی نیستند، و در عوض برای ایجاد حداکثر انعطاف‌پذیری و چابکی توسعه‌دهندگان طراحی شده‌اند. مشتریان باید اطمینان حاصل کنند که خوشه های خود را برای امنیت مناسب به درستی پیکربندی می کنند.

چند مدیر

اجازه دادن به چندین مهندس برای استفاده از نقش‌های بسیار ممتاز مانند CLUSTER_ADMIN برای عملیات روزانه در یک خوشه همیشه یک اشتباه است. این نقش باید فقط برای مدیریت سایر نقش ها و کاربران استفاده شود. داشتن چندین سرپرست با سطح دسترسی CLUSTER_ADMIN، حساب های بیشتری را برای هکرها فراهم می کند که از طریق آنها می توانند با دسترسی کامل به کلستر، وارد سیستم شما شده و از آنها سوء استفاده کنند.

بدون محدودیت دسترسی

بسیاری از مدیران محدودیت‌هایی برای نوع دسترسی توسعه‌دهندگان به خوشه‌های dev/stage/prod تعیین نمی‌کنند. هر توسعه دهنده ای برای نقش خود به دسترسی کامل به تمام محیط های مختلف نیاز ندارد. در واقع، تنها دسترسی اکثر توسعه دهندگان باید به لاگ ها باشد. اجازه دسترسی نامحدود به توسعه دهندگان عمل بدی است. مشابه داشتن چندین سرپرست، این اشتباه می تواند توسط هکرهایی مورد سوء استفاده قرار گیرد که می توانند از این دسترسی نامحدود برای حرکت جانبی در داخل سیستم شما استفاده کنند، مهم نیست که به چه حسابی دسترسی داشته باشند.

با فرض جداسازی

این فرض که شبکه خوشه ای از بقیه VPC ابری جدا شده است می تواند باعث شود بسیاری از شرکت ها نیاز به ایمن سازی آن را نادیده بگیرند. فقدان امنیت یک نقطه ورود آسان برای بازیگران بد فراهم می کند.

ایمن نشدن YAML های وارد شده

وارد کردن YAML های عمومی می تواند باعث صرفه جویی در وقت شما و مجبور به اختراع مجدد چرخ شود، اما می تواند پیکربندی های نادرست را به محیط شما وارد کند. شرکت‌ها باید از پیامدهای امنیتی هر YAML که به اکوسیستم خود وارد می‌کنند آگاه باشند و اطمینان حاصل کنند که هر گونه مشکل پیکربندی وارداتی در اسرع وقت کاهش می‌یابد.

ذخیره اسرار در ConfigMaps

اسرار داده‌های حساسی مانند رمز عبور، رمز یا کلید هستند. برای سهولت، یا گاهی اوقات از روی ناآگاهی، توسعه دهندگان این اسرار را در ConfigMaps ذخیره می کنند و داده های حساس را در معرض هکرهای خارجی قرار می دهند که در صورت دسترسی به ConfigMap، می توانند به منبع مرتبط دسترسی پیدا کنند.

بدون اسکن معمولی

بسیاری از شرکت‌ها هیچ ابزار یا برنامه‌ای برای شناسایی مشکلات در محیط‌های Kubernetes خود ندارند. انجام اسکن‌های منظم برای پیکربندی‌های نادرست و آسیب‌پذیری‌ها در سریع‌ترین زمان ممکن در چرخه عمر توسعه نرم‌افزار (SDLC) و خط لوله CI/CD به از بین بردن احتمال ایجاد این مشکلات در تولید کمک می‌کند.

در حالی که هر شرکتی باید به طور مداوم در تلاش باشد تا جزو ایمن‌ترین شرکت‌ها باشد، می‌توانید با اطمینان از اینکه جزو کمترین محافظت‌شده‌ها نیستید، شروع کنید. هکرها نمی خواهند خیلی سخت کار کنند. آنها به دنبال ساده ترین راه برای موفقیت هستند. رفع این اشتباهات ساده وضعیت امنیتی Kubernetes شما را بهبود می بخشد، هکرها را که به دنبال اهداف آسان هستند منصرف می کند و شما را در مسیر امنیت بهتر Kubernetes قرار می دهد.

بن هیرشبرگ VP R&D در ARMO. او یک کهنه‌کار امنیت سایبری است که علاقه‌مند به امنیت ابری است و عاشق نوشتن اکسپلویت‌های باینری، مهندسی معکوس و کار تیمی است. وقتی هیچ کامپیوتری در اطراف وجود ندارد، بن را می‌توان در آشپزخانه پیدا کرد که ظرف جدیدی خلق می‌کند یا ذهن آخرین حریف شطرنج خود را مهندسی معکوس می‌کند.

—

New Tech Forum مکانی برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.