近日,科技新闻界传来一则关于Kubernetes安全性的重要警报。据bleepingcomputer报道,微软在其最新的安全研究中指出,使用Kubernetes进行应用部署时,特别是通过Helm charts进行快速部署,存在重大的安全隐患。
Kubernetes,这一开源平台,因其能够自动化地部署、扩展及管理容器化应用而广受欢迎。Helm,作为Kubernetes的包管理工具,通过charts大大简化了复杂应用的部署流程。然而,微软Defender for Cloud Research团队的研究人员Michael Katchinskiy和Yossi Weizman却发现,许多Helm charts的默认配置中缺少了关键的安全措施。
研究人员警告,对于缺乏云安全经验的用户来说,直接使用这些默认配置可能会将服务无意间暴露在互联网上,从而增加了被攻击者扫描并利用漏洞的风险。这一问题在现成的Helm charts中尤为突出。
为了具体说明这一问题,微软在其报告中列举了三个典型的案例。Apache Pinot的Helm chart通过Kubernetes LoadBalancer服务暴露了核心组件,如pinot-controller和pinot-broker,且未设置任何身份验证措施。Meshery则可以通过暴露的IP地址进行公开注册,使得任何人都有可能获取集群的操作权限。而Selenium Grid则通过NodePort在所有集群节点上暴露了服务,仅仅依赖于外部防火墙进行保护。
值得注意的是,尽管官方的Helm chart可能不存在这些问题,但在GitHub上的许多项目中,类似的安全隐患仍然普遍存在。事实上,网络安全公司Wiz曾发现攻击者利用Selenium Grid的配置错误,部署了XMRig矿工来挖掘Monero加密货币。
针对这一现状,微软强烈建议用户在使用Helm charts时,从安全角度出发,仔细审查其默认配置,确保包含了身份验证和网络隔离等关键的安全措施。微软还建议用户定期扫描公开暴露的工作负载接口,并密切监控容器中的可疑活动,以防止潜在的安全威胁。
研究人员进一步强调,如果不仔细检查YAML文件和Helm charts,企业可能会在没有任何保护的情况下部署服务,从而完全暴露在攻击者的威胁之下。这一警告无疑为所有使用Kubernetes和Helm进行应用部署的企业和个人敲响了警钟。
微软还建议,为了提高整体的安全性,企业可以考虑采用更为严格的访问控制和身份验证机制,以及加强网络安全培训和意识提升,确保所有员工都能够充分认识到并遵守最佳的安全实践。
最后,随着云计算和容器化技术的不断发展,安全性的挑战也将日益复杂。因此,微软呼吁所有相关企业和个人,持续关注最新的安全动态和技术进展,以确保自身的应用和服务始终处于最安全的状态。
