近日，科技新聞界傳來(lái)一則關(guān)于Kubernetes安全性的重要警報(bào)。據(jù)bleepingcomputer報(bào)道，微軟在其最新的安全研究中指出，使用Kubernetes進(jìn)行應(yīng)用部署時(shí)，特別是通過(guò)Helm charts進(jìn)行快速部署，存在重大的安全隱患。

Kubernetes，這一開(kāi)源平臺(tái)，因其能夠自動(dòng)化地部署、擴(kuò)展及管理容器化應(yīng)用而廣受歡迎。Helm，作為Kubernetes的包管理工具，通過(guò)charts大大簡(jiǎn)化了復(fù)雜應(yīng)用的部署流程。然而，微軟Defender for Cloud Research團(tuán)隊(duì)的研究人員Michael Katchinskiy和Yossi Weizman卻發(fā)現(xiàn)，許多Helm charts的默認(rèn)配置中缺少了關(guān)鍵的安全措施。

研究人員警告，對(duì)于缺乏云安全經(jīng)驗(yàn)的用戶來(lái)說(shuō)，直接使用這些默認(rèn)配置可能會(huì)將服務(wù)無(wú)意間暴露在互聯(lián)網(wǎng)上，從而增加了被攻擊者掃描并利用漏洞的風(fēng)險(xiǎn)。這一問(wèn)題在現(xiàn)成的Helm charts中尤為突出。

為了具體說(shuō)明這一問(wèn)題，微軟在其報(bào)告中列舉了三個(gè)典型的案例。Apache Pinot的Helm chart通過(guò)Kubernetes LoadBalancer服務(wù)暴露了核心組件，如pinot-controller和pinot-broker，且未設(shè)置任何身份驗(yàn)證措施。Meshery則可以通過(guò)暴露的IP地址進(jìn)行公開(kāi)注冊(cè)，使得任何人都有可能獲取集群的操作權(quán)限。而Selenium Grid則通過(guò)NodePort在所有集群節(jié)點(diǎn)上暴露了服務(wù)，僅僅依賴于外部防火墻進(jìn)行保護(hù)。

值得注意的是，盡管官方的Helm chart可能不存在這些問(wèn)題，但在GitHub上的許多項(xiàng)目中，類似的安全隱患仍然普遍存在。事實(shí)上，網(wǎng)絡(luò)安全公司W(wǎng)iz曾發(fā)現(xiàn)攻擊者利用Selenium Grid的配置錯(cuò)誤，部署了XMRig礦工來(lái)挖掘Monero加密貨幣。

針對(duì)這一現(xiàn)狀，微軟強(qiáng)烈建議用戶在使用Helm charts時(shí)，從安全角度出發(fā)，仔細(xì)審查其默認(rèn)配置，確保包含了身份驗(yàn)證和網(wǎng)絡(luò)隔離等關(guān)鍵的安全措施。微軟還建議用戶定期掃描公開(kāi)暴露的工作負(fù)載接口，并密切監(jiān)控容器中的可疑活動(dòng)，以防止?jié)撛诘陌踩{。

研究人員進(jìn)一步強(qiáng)調(diào)，如果不仔細(xì)檢查YAML文件和Helm charts，企業(yè)可能會(huì)在沒(méi)有任何保護(hù)的情況下部署服務(wù)，從而完全暴露在攻擊者的威脅之下。這一警告無(wú)疑為所有使用Kubernetes和Helm進(jìn)行應(yīng)用部署的企業(yè)和個(gè)人敲響了警鐘。

微軟還建議，為了提高整體的安全性，企業(yè)可以考慮采用更為嚴(yán)格的訪問(wèn)控制和身份驗(yàn)證機(jī)制，以及加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)提升，確保所有員工都能夠充分認(rèn)識(shí)到并遵守最佳的安全實(shí)踐。

最后，隨著云計(jì)算和容器化技術(shù)的不斷發(fā)展，安全性的挑戰(zhàn)也將日益復(fù)雜。因此，微軟呼吁所有相關(guān)企業(yè)和個(gè)人，持續(xù)關(guān)注最新的安全動(dòng)態(tài)和技術(shù)進(jìn)展，以確保自身的應(yīng)用和服務(wù)始終處于最安全的狀態(tài)。