АНБ и CISA обновили руководство по безопасности Kubernetes

Агентство национальной безопасности США совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA) опубликовали обновленное руководство по безопасности кластеров Kubernetes.

Новое издание представляет собой дополненное руководство по безопасности Kubernetes, выпущенное АНБ и CISA в августе прошлого года. Оно содержит дополнительные подробности и объяснения, основанные на отзывах сообщества, а также более подробную информацию об обнаружении угроз.

Некоторые обновления совсем незначительны, но очень важны для специалистов, занимающихся обеспечением безопасности кластеров Kubernetes. Ключевые моменты оригинального руководства остались без изменений.

Защита Kubernetes рассматривается в контексте типичной конструкции кластера, которая включает в себя панель управления, рабочие узлы (для запуска контейнерных приложений) и модули для контейнеров, размещенных на этих узлах. Эти кластеры часто размещаются в облаке, а то и в нескольких облаках в AWS, Azure, Google и других местах.

Как отмечают АНБ и CISA, Kubernetes обычно подвергается краже данных, краже вычислительной мощности или атакам отказа в обслуживании. Исторически уязвимости в Kubernetes и различных зависимостях, а также неправильные конфигурации использовались злоумышленниками для развертывания криптомайнеров в инфраструктуре жертвы. Кроме того, Kubernetes подвержен риску атак на цепочки поставок, поскольку кластеры обычно имеют программные и аппаратные зависимости от сторонних разработчиков.

Помимо рисков, связанных с цепочками поставок, Kubernetes также подвержен внешним и внутренним угрозам, например, когда рабочие нагрузки, которые не управляются данным кластером, используют одну и ту же физическую сеть. В таком случае рабочая нагрузка может иметь доступ к kubelet и компонентам панели управления, например к серверу API. В связи с этим АНБ и CISA рекомендуют изоляцию на уровне сети.

В руководстве прописаны советы, как обеспечить строгую изоляцию рабочей нагрузки между модулями, работающими на одном узле в кластере, учитывая, что Kubernetes по умолчанию не гарантирует такое разделение.

Также рекомендуются регулярный пересмотр настроек Kubernetes и сканирование на предмет наличия уязвимостей.