導讀:這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產品GKE Autopilot,同時甚至影響到了GKE 標準。
去年,Palo Alto Networks(派拓網絡)的威脅研究與咨詢團隊Unit 42 曾在 Google Kubernetes Engine (GKE) 中發(fā)現多個漏洞和攻擊技術。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產品GKE Autopilot,同時甚至影響到了GKE 標準。
Unit 42 發(fā)現 GKE Autopilot 漏洞能夠讓攻擊者升級權限,并接管整個集群。攻擊者可以隱秘地竊取信息,部署惡意軟件,實施加密挖礦攻擊,以及破壞工作負載。谷歌隨后解決了這些問題,并在 GKE 中部署了大量補丁保護集群。到目前為止,Unit 42 未發(fā)現這些漏洞被廣泛利用。
針對Kubernetes的攻擊愈演愈烈
Kubernetes是Google開源的容器編排引擎,支持自動化部署、大規(guī)模擴展和應用容器化管理。根據云原生計算基金會(CNCF)的最新年度調查顯示,絕大多數企業(yè)(83%)在生產環(huán)境中運行了 Kubernetes。值得注意的是,上云為企業(yè)帶來諸多益處的同時,也吸引了大量攻擊者。Unit 42 監(jiān)測到許多專門用于攻擊 Kubernetes 的惡意軟件。要想確保云上工作的安全性,就需要企業(yè)、云安全提供商和整個網絡安全行業(yè)共同協作,解決漏洞和錯誤配置等問題。
隨著 Kubernetes技術的不斷進步,目前簡單的錯誤配置和漏洞已經越來越少見,而攻擊者也在不斷升級攻擊行為。研究表明,即使是 Kubernetes 中最細微的問題,也可能成為攻擊的切入點。只有全面的云原生安全平臺,才能讓防御者有能力保護集群免受類似威脅。
如何防范針對Kubernetes的惡意攻擊
Kubernetes 管理員可以通過制定規(guī)則和采取審核措施,監(jiān)控、檢測和預防集群中的可疑活動和權限升級。另外,應用 NodeAffinity、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開。
為了保護整個云環(huán)境,最好的解決方案是采用全面的云原生安全平臺。作為業(yè)界唯一的全面云原生安全平臺,Prisma Cloud 利用云服務提供商 API 提供對公有云環(huán)境的可視性和控制,同時利用單個統一的代理框架將安全性擴展到主機、容器和無服務器功能。其憑借對混合和多云環(huán)境的支持,實現了全面的云原生安全。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),提供實時的深度云資源報告、保持云端的合規(guī)性、保護云原生資源及賦能敏捷開發(fā)。Prisma Cloud 用戶可以啟用 Kubernetes 準入支持,解決 Kubernetes 權限升級問題。該功能可以有效防止針對 Kubernetes 的攻擊。迄今為止,Prisma Cloud獲得了77%的財富100強企業(yè)信賴,客戶超過1,700家。
-完-
關于Palo Alto Networks(派拓網絡)
作為全球網絡安全領導企業(yè),Palo Alto Networks(派拓網絡)正借助其先進技術重塑著以云為中心的未來社會,改變著人類和組織運作的方式。我們的使命是成為首選網絡安全伙伴,保護人們的數字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統的不斷成長,我們始終站在安全前沿,在云、網絡以及移動設備方面為數以萬計的組織保駕護航。我們的愿景是構建一個日益安全的世界。