Siden udgivelsen i 2014 Kubernetes er opstået som et af de mest udbredte open source-systemer til containere - og det er der god grund til. Containerstyringsværktøjet giver bureauer mulighed for at forbedre organisatorisk effektivitet, muliggøre avanceret sikkerhedsovervågning og reducere omkostninger.
Dårlige aktører har også erkendt Kubernetes rige potentiale, da det kan give fuldstændig adgang til organisationsdata for at udnytte til afpresning eller tyveri. Efterhånden som platformen bliver mere populær, vil dens række af slutpunkter - og potentielle sårbarheder — udvider sig.
Efter introduktionen blev Kubernetes set som et system, der muliggjorde forbedrede sikkerhedsforanstaltninger. Men i 2021 Siloscape malware dukkede op, målrettet mod dårligt konfigurerede Kubernetes-klynger for at plante bagdøre, der gjorde det muligt for kriminelle at stjæle data og brugeroplysninger.
Som det første tilfælde af et angreb mod et Kubernetes-miljø begyndte organisationer at udvide deres cybersikkerhedsressourcer, men blev udfordret af den grundige viden, der krævedes for at skabe og arbejde i klynger. Hver gang en klynge kompromitteres, får dårlige aktører adgang til flere cloud-applikationer, inklusive fortrolige filer, brugernavne og adgangskoder.
Mange organisationer har implementeret grundlæggende identitets- og adgangsstyringsfunktionalitet (IAM) for at løse disse sikkerhedshuller, men disse løsninger har en tendens til at give hovedautorisation og giver ikke mulighed for effektiv adgangsstyring.
For bedst muligt at sikre Kubernetes-miljøer har organisationer brug for tilpassede IAM-løsninger for at tilpasse sig specifikke roller og adgang og, hvis det er nødvendigt, justere rollen, når en klyngeoprettelse er fuldført. Tilpasset IAM til containere kan lette processen med at konfigurere, administrere og sikre skalerbarhed af klynger.
Angivne IAM-roller
Det første skridt, organisationer bør tage for at sikre Kubernetes-klynger, er klart at definere roller og tilladelser for hver bruger. Oprettelse af mere detaljerede regler for individuel klyngeadgang kan sikre, at én klynge ikke giver adgang til hele organisationens data. En bruger med tilladelse til at redigere Kubernetes-datasættet, men ude af stand til at oprette og administrere roller, udgør en mindre trussel end en bruger med fulde administrative tilladelser.
Med definerede roller på plads kan organisationer derefter angive autorisationsniveauer ved at etablere adgangsregler for forskellige typer brugere, da tilladelsesbehov vil variere baseret på klyngen. Brugere med superbrugeradgang kan tildeles lignende autoritet til administratorer uden mulighed for at justere indstillinger og hjælpeprogrammer, mens andre brugere kan begrænses til visse tjenester i klyngen. Disse specifikke roller kan derefter tilknyttes Kubernetes rollebindinger for korrekt godkendelse.
Mens IAM bruges til at godkende enkeltpersoner, er det stadig afhængigt af de indbyggede Kubernetes rollebaserede adgangskontroller (RBAC'er) til administration, som muligvis skal justeres. Opretteren af en klynge vil automatisk blive tildelt mastertilladelser i dens RBAC-konfiguration, som et resultat, der giver ubegrænsede administrative tilladelser. For at forhindre dårlige aktører i at drage fordel af disse tilladelser, bør sikkerhedsteams kun aktivere denne rolle til klyngeoprettelse og slette den, efter at konfigurationskortet er defineret.
Giv den mindst nødvendige adgang
Da den oprindeligt etablerede IAM-rolle giver brugeren ubegrænset adgang til den respektive klynge, skal organisationer være omhyggelige med at fjerne disse privilegier, når opgaven er fuldført. Hvis en ondsindet aktør får adgang til disse legitimationsoplysninger, vil de have fuldstændig kontrol over den klynge.
Organisationer bør etablere en skaberrolle med den mindst nødvendige adgang til at konfigurere en klynge. Yderligere, som nævnt ovenfor, da rollens eneste formål er at opsætte klyngen, bør den slettes efter klyngen er udviklet.
Derudover bør it-ledere give det mindst nødvendige privilegium, når de opretter roller for hver gruppe af brugere. Vedligeholdelse af disse privilegier er også vigtig. Administratorer skal være opmærksomme på at fjerne gamle brugere og foretage justeringer, efterhånden som rollerne ændres, og overveje automatisering af disse opdateringer, hvor det er relevant.
Kubernetes er stadig et relativt nyt system, og sikkerhedsfunktioner vil fortsat udvikle sig til det komplekse miljø. Mens IAM spiller en vigtig rolle i dets sikkerhed, skal bedste praksis overføres og justeres for de unikke funktioner i et Kubernetes-miljø.
Ved at specificere hver brugers rolle og begrænse klyngeadgang og styringskontrol i overensstemmelse hermed kan it-ledere sikre, at Kubernetes-klynger ikke bliver en gateway for cyberkriminelle til at få adgang til deres organisationsdata. Selvom sikkerhedsmetoder vil udvikle sig, efterhånden som Kubernetes og dets anvendelser skrider frem, vil korrekt tildelte roller altid give et afgørende lag af beskyttelse.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/combating-kubernetes-the-newest-iam-challenge-
- :har
- :er
- :ikke
- :hvor
- $OP
- 2014
- 2021
- a
- evne
- Om
- over
- adgang
- derfor
- aktører
- adresse
- Justeret
- administrative
- administratorer
- fremme
- fremskreden
- Fordel
- Efter
- mod
- agenturer
- tillader
- også
- altid
- an
- ,
- applikationer
- passende
- Array
- AS
- tildelt
- angribe
- autentificere
- myndighed
- tilladelse
- automatisk
- Automation
- Bagdøre
- Bad
- baseret
- grundlæggende
- BE
- bliver
- bliver
- begyndte
- BEDSTE
- bedste praksis
- men
- by
- CAN
- forsigtig
- vis
- udfordre
- udfordret
- lave om
- tydeligt
- Cloud
- Cluster
- fuldføre
- Afsluttet
- komplekse
- Kompromitteret
- Konfiguration
- Overvejer
- Container
- Beholdere
- fortsæt
- kontrol
- kontrol
- Omkostninger
- skabe
- Oprettelse af
- skabelse
- skaberen
- Legitimationsoplysninger
- Kriminelle
- afgørende
- tilpasses
- cyberkriminelle
- Cybersecurity
- data
- datasæt
- definerede
- indsat
- udvikle
- udviklet
- forskellige
- do
- Don
- hver
- lette
- Effektiv
- effektivitet
- opstået
- muliggøre
- forbedret
- sikre
- sikring
- Hele
- Miljø
- miljøer
- etablere
- etableret
- oprettelse
- Hver
- udvikle sig
- ekspanderende
- udvider
- afpresning
- Funktionalitet
- Filer
- Fornavn
- Til
- fra
- fuld
- funktionalitet
- yderligere
- Gevinst
- gevinster
- gateway
- godt
- regeringsførelse
- indrømme
- bevilget
- tildeling
- gruppe
- Have
- HTTPS
- Identity
- if
- vigtigt
- Forbedre
- in
- Herunder
- individuel
- enkeltpersoner
- i første omgang
- instans
- Introduktion
- IT
- ITS
- jpg
- viden
- lag
- ledere
- Niveau
- niveauer
- Leverage
- Limited
- grænseløs
- vedligeholdelse
- Making
- malware
- administrere
- ledelse
- styring
- kort
- Master
- Kan..
- foranstaltninger
- metoder
- overvågning
- mere
- mest
- flere
- indfødte
- nødvendig
- Behov
- behov
- behov
- Ny
- Nyeste
- of
- Gammel
- on
- engang
- ONE
- kun
- åbent
- open source
- or
- ordrer
- organisation
- organisatorisk
- organisationer
- Andet
- i løbet af
- Nulstilling/ændring af adgangskoder
- tilladelse
- Tilladelser
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- udgør
- potentiale
- praksis
- forhindre
- privilegier
- behandle
- passende
- beskyttelse
- give
- giver
- formål
- grund
- anerkendt
- reducere
- relativt
- frigive
- Fjern
- fjernelse
- påkrævet
- Ressourcer
- dem
- resultere
- Rich
- roller
- roller
- regler
- s
- Skalerbarhed
- sikker
- sikkerhed
- Sikkerhedsforanstaltninger
- set
- Tjenester
- sæt
- indstillinger
- bør
- lignende
- siden
- Løsninger
- Kilde
- specifikke
- erklærede
- Trin
- Stadig
- systemet
- Systemer
- Tag
- tager
- rettet mod
- Opgaver
- hold
- end
- at
- tyveri
- deres
- derefter
- Disse
- de
- denne
- trussel
- tid
- til
- værktøj
- typer
- enestående
- ubegrænset
- opdateringer
- anvendte
- Bruger
- brugere
- forsyningsselskaber
- var
- var
- hvornår
- som
- mens
- bredt
- vilje
- med
- inden for
- uden
- Arbejde
- zephyrnet
