Kubernetes进击威胁矩阵
发布时间:2021-06-07 11:55:40 所属栏目:云计算 来源:互联网
导读:云和容器技术的快速增长,容器编排系统成了发展最快的技术。尤其是谷歌Kubernetes项目成了容器编排事实上的业界标准。越来越多的企业和开发人员已经将自己的工作转移到了K8S上。尽管K8S具有很多优势,但是统一和集中化的管控也在安全方面带来了新的挑战。在
|
云和容器技术的快速增长,容器编排系统成了发展最快的技术。尤其是谷歌Kubernetes项目成了容器编排事实上的业界标准。越来越多的企业和开发人员已经将自己的工作转移到了K8S上。尽管K8S具有很多优势,但是统一和集中化的管控也在安全方面带来了新的挑战。在容器云化的环境中(比如K8S)中也存在的各种安全风险,利用ATT&CK模型本文我们介绍K8S攻击威胁矩阵。
Kubernetes
概述
系统化的研究安全和防控最常用的方法是使用MITRE ATT&CK框架。MITRE是美国政府资助的一家研究机构,该机构源于麻省大学专门研究包括军方高密的安全项目,受美国国家标准技术研究所(NIST)的资助,MITRE开展了大量的网络安全研究和实践。
2013年了MITR推出了ATT&CK模型,该模型根据观察实际数据来定义攻击行为并对其分类。ATT&CK模型通过结构化矩阵的形式将已知的攻击行为用威胁信息列表和可信自动化交换表达。从Windows和linux OS覆盖开始,ATT&CK的矩阵涵盖了网络攻击(策略)所涉及的各个阶段,并详细介绍了其中的每个已知方法(技术)。这些矩阵可以帮助企业了解其环境中的攻击面,并确保可以充分检测和缓解各种风险。
MITER ATT&CK框架策略包括:初始访问、执行、持久化、提权、防御绕过、访问凭据、发现、横向扩展、影响力等。
对于不同平台下,尽管攻击技术与针对不同平台(比如Linux和Windows)的攻击技术有所差异,但其根本策略实际上是相似的。
例如,将前四个策略(初始访问、执行、持久化、提权)中,如果将OS转换为容器对应为:
"对计算机的初始访问"变成"对可以的初始访问";
"计算机上的恶意代码"转换为"对容器的恶意活动" ;
"保持对计算机的访问权限"变为"保持对集群访问的权限";
"在计算机上获得更高的特权"转化为"在集群获得中获得更高的特权"。
基于此,改造原始工具矩阵为容器云(K8S)版本ATT&CK的威胁攻击矩阵,其中包括与容器编排安全相关的主要技术。
如上图,矩阵包含上面列出的9种策略。其中个策略又包含多项技术,攻击者可以使用这些技术来实现不同的目标。下面我们对具体策略具体展开介绍。
1. 访问入口
访问入口策略包括获得的对资源访问权限的技术。在容器云虚拟化化环境中,这些技术可以对我们的访问重定向。可以对访问通过URL串行链接,也可以通过访问部署的恶意或被篡改的资源来实现。
(1) 使用云凭证
如果将K8S集群部署在公共云中(例如亚马逊AWS的EKS,谷歌GCP的GKE或微软Azure的AKS),则云凭据(密码,证书,token)泄露可能导致集群被接管。有权访问云帐户凭据的攻击者可以访问任意操纵整个集群。
(2) 注册表中恶意镜像
在群集中运行恶意的镜像可能会损坏群集。可访问私有注册表的攻击者可以在注册表中随意植入自己的非法代码或者木马等供用户拉取使用。此外,用户拉取来自公共注册表(例如Docker Hub)中未经验证的镜像,这些镜像可能是恶意镜像。
基于无限信任的基础镜像建设镜像也会导致类似的结果。
(3) Kubeconfig配置
kubconfigl也使用kubeconfig文件,其中包含有关Kubernetes集群的详细信息,包括它们的分区和凭据。如果群集托管为云服务(例如AKS或GKE),则该文件通过云命令下载到客户端。如果攻击者通过窃取的客户端配置文件,则可以使用该文件访问副本。
(4) 有漏洞的应用程序
在集群中运行有公开漏洞的应用程序可引起集群的访问权限。可能会触发远程代码执行突破(RCE)攻击容器。如果服务帐户安装在容器中(K8S的默认行为),则攻击者可以窃取服务帐户并对API服务器发送请求。
(5) 暴露的仪表板
Kubernetes仪表板是基于Web的用户界面,可用于监视和管理K8S集群。默认情况仪表板只能通过内网访问。如果图省事将仪表板暴露在外部,则可以允许进行身份验证和部署远程管理。
 (编辑:汕尾站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
