近期,科技界传出了一则关于Kubernetes平台安全性的重要警告。据知名科技媒体bleepingcomputer报道,微软的研究人员揭示了在使用Kubernetes进行容器化应用部署时,特别是通过Helm charts进行快速部署的情况下,默认配置中隐藏着严重的安全隐患。
Kubernetes作为一个开源平台,在自动化部署、扩展和管理容器化应用方面广受欢迎。而Helm,作为一个包管理工具,通过charts(部署模板)大大简化了复杂应用的部署流程。然而,正是这些便捷的默认设置,可能为用户带来了意想不到的安全风险。
微软Defender for Cloud Research团队的研究人员Michael Katchinskiy和Yossi Weizman指出,许多Helm charts的默认配置中缺乏必要的安全防护。对于缺乏云安全经验的用户来说,直接使用这些默认配置可能会导致服务被暴露在互联网上,从而吸引攻击者的注意。
为了具体说明这一问题,微软的研究报告列举了三个典型案例。其中,Apache Pinot的Helm chart通过Kubernetes LoadBalancer服务暴露了核心组件,如pinot-controller和pinot-broker,且未设置任何身份验证措施。Meshery则可以通过暴露的IP地址进行公开注册,任何人均可获取对集群的操作权限。而Selenium Grid则通过NodePort在所有节点上暴露了服务,仅仅依赖外部防火墙进行保护。
值得注意的是,尽管官方的Helm chart可能不存在这些问题,但在GitHub上的许多项目中,类似的安全隐患仍然普遍存在。网络安全公司Wiz等曾发现,攻击者利用Selenium Grid的配置错误,部署了XMRig矿工来挖掘Monero加密货币。
面对这些安全隐患,微软强烈建议用户在使用Helm charts时,从安全角度出发,仔细审查默认配置,确保包含身份验证和网络隔离措施。同时,用户还应定期扫描公开暴露的工作负载接口,并密切监控容器中的可疑活动,以防止潜在的安全威胁。
研究人员还强调,如果不仔细检查YAML文件和Helm charts,企业可能会在没有任何保护的情况下部署服务,从而完全暴露在攻击者的威胁之下。因此,对于使用Kubernetes和Helm进行容器化应用部署的用户来说,加强安全意识,确保配置的安全性至关重要。
