Kubernetes 中 HostPath 的风险和防范
Published
•1 min readKubernetes 的安全问题,被提及比较多的一般包括几个点:
- Docker & Kubernetes 参数加固
- RBAC
- Root 镜像
- 特权容器
众所周知,很多安全问题是爆发在内部的,因此有了零信任的说法。内网能够比较容易地接触在成功接触集群之后,仅仅通过对 HostPath 的使用,就有机会对集群和运行其上的工作负载进行窥探,甚至进行写入操作。
下面会分为三个部分,分别介绍可能接触集群的方法,入侵危害、以及建议的防范手段。
接触集群
要入侵一个集群,通常需要用某种方式和集群进行接触,通常方式有几种:
意外暴露无鉴权的明文端口
部分集群管理员为了方便访问,或者其他历史遗留原因,选择使用无鉴权的 API Server,或者暴露 Kubelet 的只读端口。
意外暴露 Dashboard 类服务
很多同学偏爱图形化的 Dashboard 服务,这类服务通常需要有较高的授权级别,可以运行较多的管理任务。
安装恶意应用
现在很多软件使用 curl | kubectl -f - 的形式进行快速安装,对于有外网访问能力的 Kubernetes 集群来说,不加验证的运行未知应用,随时处于引狼入室的威胁之中。
Kubeadm 安装后会缺省提供一个 admin.conf 文件,其中包含了集群管理员身份的客户端证书,能够完全控制集群。
公有云账号
GKE、AKS 等集群环境,其 Kubernetes 账号是来自公有云的,因此公有云对容器集群具有全权处置的能力,其中也包含生成集群管理员的能力。
建议严格管理公有云相关账号,根据使用责任对不同系统进行分离。
入侵危害
敏感文件
Pod 中加载了敏感文件之后,可能通过 cp 获取这些文件,甚至还可以尝试使用 exec 进行写入工作。随便举几个例子:
/etc/root/var/lib
这些位置的文件包含了身份证书、信任链、各种配置文件,被读取,破坏、甚至被篡改会发生什么呢?
服务发现
以 Pod 为基础,能够访问集群内的各种服务,进一步扩散影响范围。
防范
- 使用 PSP 或者 OPA/Kyverno 等策略工具,限制
hostPath的加载,必须加载的,也应该控制在指定目录。 - 控制镜像来源,杜绝不明来源的镜像进入集群。
- 启用审计策略。
/etc/kubernetes/*、~/.kube设置权限为 600。- 管理员身份的
kubeconfig文件应该单独存放。如有可能,应该使用 OIDC 等第三方进行登录。 - 使用 RBAC 为特定职责的用户开放最小权限,严格控制
execattachportforward等权限。 - Kubelet、APIServer 的明文端口必须关闭。
- 使用网络策略,防止未经明确放行的服务访问。