CON318 | Kubernetes 安全：如何解决 Kubernets 的主要漏洞

CON318 | Kubernetes 安全：如何解决 Kubernets 的主要漏洞

关键字: [Amazon Web Services re:Invent 2023, Amazon EKS, Kubernetes Security, Kubernetes Vulnerabilities, Kubernetes Attack Vectors, Securing Kubernetes Clusters, Hardening Kubernetes]

本文字数: 2300, 阅读完需: 12 分钟

视频

导读

本次分享介绍了 Kubernetes 体系结构的基本原理及常见攻击向量、Amazon Elastic Kubernetes Service 为解决这些问题提供的安全控制、客户可以实施的降低风险策略，以及改进开源 Kubernete 的契机。

演讲精华

以下是小编为您整理的本次演讲的精华，共2000字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

麦卡·豪斯勒（Mica Hausler）是亚马逊云科技（Amazon Web Services）的一名资深工程师，具有超过四年的工作经验。在演讲开始时，他向观众介绍了背景，并请他们设想一下，作为一名Kubernetes管理员，突然收到关于其集群的重大安全问题的紧急警报。该警报来自公司的安全团队，声称有些外部研究人员已经发现他们可以简单地通过curl访问您的集群Kubernetes API端点并检索其所有机密信息——这是一个严重的问题！

这让人生畏，因为您立刻意识到报告中的域名指向了在特定亚马逊云科技区域运行的一个生产EKS集群。端点甚至包含该EKS集群的唯一标识符。最令人担忧的是，对/api/v1/secrets路径的请求根本不需要任何身份验证。这意味着所有的秘密，包括GitHub和SendGrid密钥等凭证，都在向外暴露。

首先，您需要迅速核实是否真的是您的一个受影响EKS集群。您使用亚马逊云科技的命令行界面来列出那个地区内的EKS集群，并通过描述它们来获取端点名称。通过匹配报告中