网星安全Kubernetes集权安全解决方案
立即咨询
首页
Kubernetes安全痛点
API命令执行
攻击者获得到Kubemetes一定权限之后,可以利用Kubernetes的API在集权中执行恶意命令,进而对集群中的相关资产发起攻击。
不安全的APIServer
Kubernetes API Server是集群的控制中心,提供对集群资源的访问和控制。如果API Server配置不当或存在安全漏洞,可能会导致严重的安全问题。
服务账户滥用
Kubernetes服务账户是一种用于对Pod中运行的应用程序进行身份验证和授权的机制,服务账户用于授予Pod中的容器访问Kubernetes API的权限。然而,如果服务账户被滥用或配置不当,可能导致安全风险。
RBAC配置不当
Role-Based Access Control(RBAC)在Kubemetes中是管理对集群资源的访问权限的关键机制。如果 RBAC 配置不当,可能导致未经授权的用户或服务账户访问敏感资源,从而引发安全
风险。
风险。
Kubernetes四类典型攻击路径
Kubernetes挖矿攻击案例
针对Kubernetes的攻击已经体系化
安全理念
事前:脆弱性梳理
API Server端口配置异常
将API Server设置在不安全的端口提供服务,攻击者可以通过此端口进行未授权访问master节点,并且获取master节点的控制权证
存在特权容器的使用
攻击者可以访问主机上的系统资源,绕过 Kubernetes 的安全控制,获取系统级别的访问权限
Controller Manager API绑定异常
Controller Manager API如果暴露在公网或不安全的网络中,攻击者可以对集群进行攻击基线检测
危险目录挂载
敏感文件挂载在容器中,可能会造成Kubernetes敏感信息泄漏或命令执行
非安全端口访问
API Server未开启TLS认证,攻击者可通过非安全端口进行未授权访问
容器权限异常
Kuberneles存在有高权限特权容器,攻击者可利用特权容器获取node节点权限
api-server未授权访问
API Server未对用户身份进行验证,导致对API Server的匿名访问
事前:脆弱性梳理
事前:脆弱性梳理
事前:脆弱性梳理
事中:威胁监测威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型,该模型将已知攻击的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。
产品形态
ITDR分析运营中心
部署在客户安全管理网络中,对采集到的数据进行分析,识别脆弱性,发现威胁行为,联动JumpServer进行处置指令下发
可拆分为分析中心与管理运营中心,做集群分布式部署
可虚拟化部署
可拆分为分析中心与管理运营中心,做集群分布式部署
可虚拟化部署
数据来源
将agent上传到Kubernetes的master节点,安装agent
进行日志采集,将Kubernetes数据发送到分析运营中心
分析运营中心通过API查询元数据
进行日志采集,将Kubernetes数据发送到分析运营中心
分析运营中心通过API查询元数据
、
配置需求实施周期:资源准备完毕后,1.5h~2h完成平台部署。
解决方案-客户案例(某金融公司Kubernetes遭受攻击)
案例背景
在2022年12月,某金融公司的Kubernetes集群遭受攻击。攻击者通过利用Kubernetes API Server上的一个已知漏洞,成功绕过了身份验证进入了集群。这个漏洞允许攻击者在未经授权的情况下执行命令,进而获取对Kubernetes集群的控制权。攻击者使用Kubernetes集群内部的服务账户和凭证,迅速在集群
中横向移动。他们利用Kubernetes的资源定义(如Deployment和Pod)中存在的安全漏洞,通过容器间通信协议实现了内部渗透,最终抵达核心数据库。
中横向移动。他们利用Kubernetes的资源定义(如Deployment和Pod)中存在的安全漏洞,通过容器间通信协议实现了内部渗透,最终抵达核心数据库。
解决方案
事前-基线排查:5条中高危项基线以及2个漏洞。整改相关风险基线以及漏洞。
事中-事件监测:攻击者再次发起攻击,域内信息收集(版本信息探测)、权限获取(疑似API-Server匿名访问、Pod命令执行)、后门持久化(Shadow-ApiServer持久化攻击)。
事后-应急处置:定位失陷Kubernetes、分析系统日志、全盘杀毒、全公司防病毒软件状态排查、安全意识培训。
事中-事件监测:攻击者再次发起攻击,域内信息收集(版本信息探测)、权限获取(疑似API-Server匿名访问、Pod命令执行)、后门持久化(Shadow-ApiServer持久化攻击)。
事后-应急处置:定位失陷Kubernetes、分析系统日志、全盘杀毒、全公司防病毒软件状态排查、安全意识培训。
客户价值
事前:全面梳理Kubernetes的攻击面与风险点.
事中:实时监测,协助客户发现了Kubernetes中长期潜伏的攻击者
事后:协助客户对AD域进行全面加固,针对Kubernetes防护弱点进行持续改进。
事中:实时监测,协助客户发现了Kubernetes中长期潜伏的攻击者
事后:协助客户对AD域进行全面加固,针对Kubernetes防护弱点进行持续改进。
关于我们北京中安网星科技有限责任公司(以下简称“网星安全”),创立于2020年,作为专业解决企业身份安全威胁的网络安全公司,网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景,以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应(ITDR)”,以AD安全防护问题切入身份安全治理,延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景,为身份安全检测与响应(ITDR)解决方案的落地打下了坚实的基础。网星安全将客户放在首位,将传统的客户关系转变为真正的合作伙伴关系,为用户提供更立体的身份安全体系。凭借扎实的技术研发实力,现已横向覆盖各行业多个领域,包含金融、交通、能源、科技、消费等超100家大型企业。
产品推荐
云积天赫是国内领先的AI营销决策工具和算法服务商。致力于发展消费者运营相关理论、技术、算法、模型及软件工具,为全球消费性企业提供基于AI的消费者运营系统及运营策略服务,打造消费者运营领域最佳服务和实践标准。
以公共法律服务三台融合为主线,打造覆盖司法行政“一大统筹四大职能” 全业务全场景的业务体系,涵盖智慧公共法律服务平台、行政立法平台、智慧矫正平台、区块链司法行政监督管理平台(四大平台),司法行政统一办公管理平台和司法行政数据决策分析平台(两管理),基于腾讯WeCity 融合支撑平台构建法律业务中台(一支撑底座),形成一套完备的4+2+1模式的智慧司法解决方案。
Wstack 致力于云计算技术的创新,专注于提供产品化私有云、无缝混合云。掌握云计算,产品完全自主研发,拥有自主知识产权,是国内最大的自主开源 IaaS 社区发起者。采用Java为设计语言、提供完善API,可支撑各种 PaaS、SaaS 等上层云业务。
数字认证电子合同签署系统,集“电子印章、电子合同、 电子签约”于一体,可无缝对接到企业各个业务系统,实现电子印章的统一管控、各类合同文件的全生命周期管理,覆盖各类签署场景,高效驱动企业内外部合同数据流转;依托数字认证一体化电子签约解决方案,企业可以实现电子印章的统一管控,各类合同文件的全生命周期管理,全面覆盖企业内部及对外的各类签署场景,安全高效,合法合规。
