去年�����,Palo Alto Networks(派拓網絡)的威脅研究與咨詢團隊Unit 42 曾在 Google Kubernetes Engine (GKE) 中發(fā)現多個漏洞和攻擊技術��。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產品GKE Autopilot���,同時甚至影響到了GKE 標準�。
Unit 42 發(fā)現 GKE Autopilot 漏洞能夠讓攻擊者升級權限����,并接管整個集群。攻擊者可以隱秘地竊取信息�����,部署惡意軟件���,實施加密挖礦攻擊�,以及破壞工作負載�����。谷歌隨后解決了這些問題���,并在 GKE 中部署了大量補丁保護集群�。到目前為止,Unit 42 未發(fā)現這些漏洞被廣泛利用���。
針對Kubernetes的攻擊愈演愈烈
Kubernetes是Google開源的容器編排引擎�����,支持自動化部署�����、大規(guī)模擴展和應用容器化管理。根據云原生計算基金會(CNCF)的最新年度調查顯示�����,絕大多數企業(yè)(83%)在生產環(huán)境中運行了 Kubernetes���。值得注意的是����,上云為企業(yè)帶來諸多益處的同時�,也吸引了大量攻擊者。Unit 42 監(jiān)測到許多專門用于攻擊 Kubernetes 的惡意軟件。要想確保云上工作的安全性���,就需要企業(yè)����、云安全提供商和整個網絡安全行業(yè)共同協作���,解決漏洞和錯誤配置等問題����。
隨著 Kubernetes技術的不斷進步��,目前簡單的錯誤配置和漏洞已經越來越少見����,而攻擊者也在不斷升級攻擊行為。研究表明�����,即使是 Kubernetes 中最細微的問題��,也可能成為攻擊的切入點��。只有全面的云原生安全平臺,才能讓防御者有能力保護集群免受類似威脅���。
如何防范針對Kubernetes的惡意攻擊
Kubernetes 管理員可以通過制定規(guī)則和采取審核措施�,監(jiān)控����、檢測和預防集群中的可疑活動和權限升級。另外��,應用 NodeAffinity��、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開�。
為了保護整個云環(huán)境����,最好的解決方案是采用全面的云原生安全平臺。作為業(yè)界唯一的全面云原生安全平臺�,Prisma Cloud 利用云服務提供商 API 提供對公有云環(huán)境的可視性和控制,同時利用單個統一的代理框架將安全性擴展到主機�����、容器和無服務器功能�����。其憑借對混合和多云環(huán)境的支持,實現了全面的云原生安全����。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),提供實時的深度云資源報告����、保持云端的合規(guī)性、保護云原生資源及賦能敏捷開發(fā)�����。Prisma Cloud 用戶可以啟用 Kubernetes 準入支持���,解決 Kubernetes 權限升級問題�����。該功能可以有效防止針對 Kubernetes 的攻擊����。迄今為止���,Prisma Cloud獲得了77%的財富100強企業(yè)信賴�,客戶超過1,700家。
-完-
關于Palo Alto Networks(派拓網絡)
作為全球網絡安全領導企業(yè)�����,Palo Alto Networks(派拓網絡)正借助其先進技術重塑著以云為中心的未來社會�,改變著人類和組織運作的方式。我們的使命是成為首選網絡安全伙伴��,保護人們的數字生活方式��。借助我們在人工智能����、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破�,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)�����。通過交付集成化平臺和推動合作伙伴生態(tài)系統的不斷成長����,我們始終站在安全前沿���,在云、網絡以及移動設備方面為數以萬計的組織保駕護航���。我們的愿景是構建一個日益安全的世界�����。
