立即咨询

电话咨询

微信咨询

立即试用
商务合作

网星安全Kubernetes集权安全解决方案

网星安全 Kubernetes 集权安全解决方案,融合私有化部署容器集群管理系统与企业级应用托管软件能力。支持多集群统一管控,通过安全策略与权限体系强化访问控制,提供容器漏洞扫描、运行时防护与日志审计。助力企业构建安全合规的云原生环境,保障容器化应用高效稳定运行,是企业级容器安全的优选方案。
立即咨询
数字化产品身份安全网星安全Kubernetes集权安全解决方案

 

iconKubernetes安全痛点icon

 

API命令执行
攻击者获得到Kubemetes一定权限之后,可以利用Kubernetes的API在集权中执行恶意命令,进而对集群中的相关资产发起攻击。
不安全的APIServer
Kubernetes API Server是集群的控制中心,提供对集群资源的访问和控制。如果API Server配置不当或存在安全漏洞,可能会导致严重的安全问题。
 
服务账户滥用
Kubernetes服务账户是一种用于对Pod中运行的应用程序进行身份验证和授权的机制,服务账户用于授予Pod中的容器访问Kubernetes API的权限。然而,如果服务账户被滥用或配置不当,可能导致安全风险。
RBAC配置不当
Role-Based Access Control(RBAC)在Kubemetes中是管理对集群资源的访问权限的关键机制。如果 RBAC 配置不当,可能导致未经授权的用户或服务账户访问敏感资源,从而引发安全
风险。
 
 

 

 

iconKubernetes四类典型攻击路径icon

 

 

 

 

 

iconKubernetes挖矿攻击案例icon

 

 

icon针对Kubernetes的攻击已经体系化icon

 

 

 

 

icon安全理念icon

 

 

 

 

icon事前:脆弱性梳理icon

 

API Server端口配置异常
将API Server设置在不安全的端口提供服务,攻击者可以通过此端口进行未授权访问master节点,并且获取master节点的控制权证
存在特权容器的使用
攻击者可以访问主机上的系统资源,绕过 Kubernetes 的安全控制,获取系统级别的访问权限
Controller Manager API绑定异常
Controller Manager API如果暴露在公网或不安全的网络中,攻击者可以对集群进行攻击基线检测
危险目录挂载
敏感文件挂载在容器中,可能会造成Kubernetes敏感信息泄漏或命令执行
非安全端口访问
API Server未开启TLS认证,攻击者可通过非安全端口进行未授权访问
容器权限异常
Kuberneles存在有高权限特权容器,攻击者可利用特权容器获取node节点权限
api-server未授权访问
API Server未对用户身份进行验证,导致对API Server的匿名访问

 

 

icon事前:脆弱性梳理icon

 

 

 

 

 

icon事前:脆弱性梳理icon

 

 

 

 

icon事前:脆弱性梳理icon

 

 

 

 

 

icon事中:威胁监测icon

威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型,该模型将已知攻击的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。

 

 
 
 
 
 
icon产品形态icon

 

ITDR分析运营中心
部署在客户安全管理网络中,对采集到的数据进行分析,识别脆弱性,发现威胁行为,联动JumpServer进行处置指令下发
可拆分为分析中心与管理运营中心,做集群分布式部署
可虚拟化部署
数据来源
将agent上传到Kubernetes的master节点,安装agent
进行日志采集,将Kubernetes数据发送到分析运营中心
分析运营中心通过API查询元数据
 

 

 

icon配置需求icon

实施周期:资源准备完毕后,1.5h~2h完成平台部署。

 

 

 

 

icon解决方案-客户案例(某金融公司Kubernetes遭受攻击)icon

 

案例背景
在2022年12月,某金融公司的Kubernetes集群遭受攻击。攻击者通过利用Kubernetes API Server上的一个已知漏洞,成功绕过了身份验证进入了集群。这个漏洞允许攻击者在未经授权的情况下执行命令,进而获取对Kubernetes集群的控制权。攻击者使用Kubernetes集群内部的服务账户和凭证,迅速在集群
中横向移动。他们利用Kubernetes的资源定义(如Deployment和Pod)中存在的安全漏洞,通过容器间通信协议实现了内部渗透,最终抵达核心数据库。
 
解决方案
事前-基线排查:5条中高危项基线以及2个漏洞。整改相关风险基线以及漏洞。
事中-事件监测:攻击者再次发起攻击,域内信息收集(版本信息探测)、权限获取(疑似API-Server匿名访问、Pod命令执行)、后门持久化(Shadow-ApiServer持久化攻击)。
事后-应急处置:定位失陷Kubernetes、分析系统日志、全盘杀毒、全公司防病毒软件状态排查、安全意识培训。
客户价值
事前:全面梳理Kubernetes的攻击面与风险点.
事中:实时监测,协助客户发现了Kubernetes中长期潜伏的攻击者
事后:协助客户对AD域进行全面加固,针对Kubernetes防护弱点进行持续改进。

 

 

 

icon关于我们icon

北京中安网星科技有限责任公司(以下简称“网星安全”),创立于2020年,作为专业解决企业身份安全威胁的网络安全公司,网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景,以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应(ITDR)”,以AD安全防护问题切入身份安全治理,延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景,为身份安全检测与响应(ITDR)解决方案的落地打下了坚实的基础。网星安全将客户放在首位,将传统的客户关系转变为真正的合作伙伴关系,为用户提供更立体的身份安全体系。凭借扎实的技术研发实力,现已横向覆盖各行业多个领域,包含金融、交通、能源、科技、消费等超100家大型企业。

 

 

产品推荐

智能外呼系统
智能外呼是基于智能语音识别、语音合成和自然语言理解等技术打造的企业级人工智能产品,具备多轮交互问答能力,支持外呼任务管理、话术管理、模型训练和外呼任务监控等,为企业打造低成本管理、高效率工作的智能外呼系统。
免费试用
查看详情
雀餐智慧食堂后厨管理系统
雀餐智慧食堂后厨管理系统,聚焦食堂后厨全流程数字化管控,覆盖食材采购、库存管理、菜品制作、出餐调度等核心环节。通过智能化手段优化后厨运营效率,精准把控食材损耗与菜品质量,同步实现订单同步、工序协同,减少沟通成本。适配校园、企业等各类食堂后厨场景,助力规范操作流程、提升出餐效率,赋能食堂后厨精细化管理升级。
免费试用
查看详情
腾讯电子签燃气行业解决方案
腾讯电子签燃气行业解决方案,业主可全程线上办理,依托网上营业厅,系统自动生成相关协议或单据,调用电子签实名认证、签署意愿确认、在线签署的能力;实现全程无纸化,高效办理业务。通过电子签,实现集团统一管控各分支机构印章,且对用印记录、用印权限均可实现有效管理。
免费试用
查看详情
道一云家装行业家具设计项目管理系统
道一云家装行业家具设计项目管理系统,支持多端使用,随时随地智能办公,数据一手掌握。按照各个权限组分配相应功能权限,将部门、人员、标签关联角色权限组,完成应用权限分配。关键节点自动提醒,自动发起待办任务。
免费试用
查看详情