备案控制台
探索云世界
开发者社区 阿里云安全 文章 正文

鉴权配置不当,蠕虫在自建K8s集群自由出入

2020-09-16 1651
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云安全中心 免费版,不限时长
简介: 9月8日,云安全中心接到一位客户的紧急求助,称其部署在公有云的K8s集群遭到入侵,在数分钟之内K8s节点全部沦陷,并被植入挖矿程序。阿里云云安全中心对该恶意进程进行了紧急处置和隔离,并结合K8s审计日志以及云安全中心主机侧日志还原入侵链路,深入分析了此次事件的原因。

timg.jpeg
突发——K8s节点沦为矿工
9月8日,云安全中心接到一位客户的紧急求助,称其部署在公有云的K8s集群遭到入侵,在数分钟之内K8s节点全部沦陷,并被植入挖矿程序。阿里云云安全中心对该恶意进程进行了紧急处置和隔离,并结合K8s审计日志以及云安全中心主机侧日志还原入侵链路,深入分析了此次事件的原因。

云安全中心紧急防御截屏
图片2.png

排查——鉴权配置不当

阿里云安全专家从主机日志出发,找到了攻击者植入的恶意镜像、脚本,根据行为判定——这是一次非定向的蠕虫自动化入侵事件。随后通过对K8s审计日志的梳理找到了攻击者IP,并根据这些IP滤出全部日志还原了入侵链路。

**本次入侵事件由K8s API Server鉴权不当导致,攻击者通过匿名用户登录到cluster-admin组并对整个K8s集群下发挖矿程序。**

云服务商堵漏 vs 自建集群失守
K8s API Server的鉴权问题由来已久。默认情况下K8s API Server会开启两个端口:8080(Localhost Port)和 6443(Secure Port),其中8080端口为WEB UI Dashboard,无需认证,用于本地测试与监控;6443端口需要认证且有TLS保护,用于远程连接(如:通过kubectl管理集群)。
官方文档对两种API的描述如下:
图片3.png

随着K8s在云上的普及,针对8080端口的公网未授权访问利用数年间从未停止,云服务商提供的容器默认已不存在该问题,但用户基于服务器自建K8s集群如仍存在少量开放到公网并被蠕虫入侵的案例。

6443端口的利用要通过API Server的鉴权,直接访问会提示匿名用户鉴权失败:
图片 1.png

这为自动化攻击提供了便利,黑客通过批量扫描开放在公网的6443端口,向存在鉴权问题的集群下发挖矿程序。在2019年我们监控到首次大规模针对6443端口的利用,如今针对6443鉴权问题的K8s蠕虫卷土重来,并带来了更为复杂、隐蔽的利用方式。

安全建议1- 自查
K8s API Server 6443鉴权问题需要关注,可以通过以下命令自查"system:anonymous"拥有的权限:
kubectl get clusterrolebindings -o yaml | grep system:anonymous

安全建议2- 规范化使用RBAC
正确使用RBAC策略绑定,不要改变或新增集群原生用户或组(system:开头)的权限绑定,也不要改变系统原生的集群角色(clusterrole)或角色(role)。

阿里云容器服务在控制台提供了可视化的授权管理页面,根据不同的应用场景提供了对应的预置集群角色模板,方便用户对指定子账号或RAM角色进行集群或namespace维度的权限绑定,同时支持用户自定义集群权限的控制台绑定,减少用户对RBAC的学习成本。详情参见:https://help.aliyun.com/document_detail/119596.html?spm=a2c4g.11186623.6.627.385a2b303VW0sP

安全建议3- 谨慎开启集群公网
尽量使用内网方式创建集群,减少apiserver暴露在公网上受到攻击的可能性。

安全建议4- K8s日志审计
K8s日志的安全审计除了攻击特征/威胁情报的黑名单匹配之外,还需对访问者建立行为链路的审计以覆盖匿名访问或凭证泄露后鉴权成功的攻击事件。

安全建议5-使用阿里云容器服务默认配置并开启威胁检测功能
阿里云容器服务默认不受此攻击影响,建议采用默认鉴权配置,并通过以下配置开启云安全中心K8s威胁检测功能,第一时间发现通过K8s API Server发起的入侵事件。图片5.png

安全建议6- 使用PSP安全策略
PodSecurityPolicy(简称PSP)是Kubernetes中Pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。当一个攻击者已经获取到集群的访问凭证时,有效的PSP策略配置和绑定可以通过阻止攻击者部署特权容器或挂载敏感目录等校验手段,有效阻止攻击者进行下一步入侵,详情参见:https://help.aliyun.com/document_detail/173620.html?spm=a2c4g.11186623.6.845.596116d7A2vLE6

安全建议7- 安全管理kubeconfig凭证
对于ACK容器服务标准版集群来说,kubeconfig是用户访问集群apiserver的唯一凭证,要严格控制拥有管理员权限的kubeconfig凭证的发放范围,对于可能泄露的凭证要及时吊销,吊销方法请参见: https://help.aliyun.com/document_detail/173620.html?spm=a2c4g.11186623.6.845.596116d7A2vLE6

安全建议7- 安全管理kubeconfig凭证
对于ACK容器服务标准版集群来说,kubeconfig是用户访问集群apiserver的唯一凭证,要严格控制拥有管理员权限的kubeconfig凭证的发放范围,对于可能泄露的凭证要及时吊销,吊销方法请参见: https://help.aliyun.com/document_detail/142602.html?spm=a2c4g.11186623.6.839.16d37f4bxIbUku

文章标签:
容器服务Kubernetes版
容器计算服务
云安全中心
日志服务
C++
Perl
容器
数据可视化
监控
云安全
Kubernetes
安全
API
关键词:
容器服务Kubernetes版配置
容器服务Kubernetes版集群
容器服务Kubernetes版鉴权
配置容器服务Kubernetes版集群
相关实践学习
容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
通过本实验,您将了解到容器服务Serverless版ACK Serverless 的基本产品能力,即可以实现快速部署一个在线魔方应用,并借助阿里云容器服务成熟的产品生态,实现在线应用的企业级监控,提升应用稳定性。
云原生实践公开课
课程大纲 开篇:如何学习并实践云原生技术 基础篇: 5 步上手 Kubernetes 进阶篇:生产环境下的 K8s 实践 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
云安全专家
目录
相关文章
三分钟热度的鱼
|
29天前
|
缓存 Kubernetes Docker
容器服务ACK常见问题之容器服务ACK ingress websocket配置失败如何解决
容器服务ACK(阿里云容器服务 Kubernetes 版)是阿里云提供的一种托管式Kubernetes服务,帮助用户轻松使用Kubernetes进行应用部署、管理和扩展。本汇总收集了容器服务ACK使用中的常见问题及答案,包括集群管理、应用部署、服务访问、网络配置、存储使用、安全保障等方面,旨在帮助用户快速解决使用过程中遇到的难题,提升容器管理和运维效率。
三分钟热度的鱼
33 0
天下无贼001
|
30天前
|
Prometheus 监控 Kubernetes
Kubernetes 集群监控与日志管理实践
【2月更文挑战第29天】 在微服务架构日益普及的当下,Kubernetes 已成为容器编排的事实标准。然而,随着集群规模的扩大和业务复杂度的提升,有效的监控和日志管理变得至关重要。本文将探讨构建高效 Kubernetes 集群监控系统的策略,以及实施日志聚合和分析的最佳实践。通过引入如 Prometheus 和 Fluentd 等开源工具,我们旨在为运维专家提供一套完整的解决方案,以保障系统的稳定性和可靠性。
天下无贼001
43 0
jerrywangsap
|
16天前
|
数据库 存储 监控
什么是 SAP HANA 内存数据库 的 Delta Storage
什么是 SAP HANA 内存数据库 的 Delta Storage
jerrywangsap
16 0
什么是 SAP HANA 内存数据库 的 Delta Storage
jianz123
|
5天前
|
Kubernetes 搜索推荐 Docker
使用 kubeadm 部署 Kubernetes 集群(二)k8s环境安装
使用 kubeadm 部署 Kubernetes 集群(二)k8s环境安装
jianz123
38 17
风水道人
|
18天前
|
消息中间件 Kubernetes Kafka
Terraform阿里云创建资源1分钟创建集群一键发布应用Terraform 创建 Kubernetes 集群
Terraform阿里云创建资源1分钟创建集群一键发布应用Terraform 创建 Kubernetes 集群
风水道人
14 0
风水道人
|
18天前
|
Kubernetes 安全 网络安全
搭建k8s集群kubeadm搭建Kubernetes二进制搭建Kubernetes集群
搭建k8s集群kubeadm搭建Kubernetes二进制搭建Kubernetes集群
风水道人
101 0
李杰-@yd
|
25天前
|
Kubernetes Cloud Native Docker
【云原生】kubeadm快速搭建K8s集群Kubernetes1.19.0
Kubernetes 是一个开源平台,用于管理容器化工作负载和服务,提供声明式配置和自动化。源自 Google 的大规模运维经验,它拥有广泛的生态支持。本文档详细介绍了 Kubernetes 集群的搭建过程,包括服务器配置、Docker 和 Kubernetes 组件的安装,以及 Master 和 Node 的部署。此外,还提到了使用 Calico 作为 CNI 网络插件,并提供了集群功能的测试步骤。
李杰-@yd
213 0
mrq4nk6ni2neg
|
28天前
|
Prometheus 监控 Kubernetes
Kubernetes 集群的监控与日志管理实践
【2月更文挑战第31天】 在微服务架构日益普及的今天,容器编排工具如Kubernetes已成为部署、管理和扩展容器化应用的关键平台。然而,随着集群规模的扩大和业务复杂性的增加,如何有效监控集群状态、及时响应系统异常,以及管理海量日志信息成为了运维人员面临的重要挑战。本文将深入探讨 Kubernetes 集群监控的最佳实践和日志管理的高效策略,旨在为运维团队提供一套系统的解决思路和操作指南。
mrq4nk6ni2neg
26 0
hhzz
|
30天前
|
存储 Kubernetes 监控
Kubernetes(k8s)集群健康检查常用的五种指标
Kubernetes(k8s)集群健康检查常用的五种指标
hhzz
86 1
hhzz
|
30天前
|
Kubernetes Cloud Native Devops
云原生技术落地实现之二KubeSphere DevOps 系统在 Kubernetes 集群上实现springboot项目的自动部署和管理 CI/CD (2/2)
云原生技术落地实现之二KubeSphere DevOps 系统在 Kubernetes 集群上实现springboot项目的自动部署和管理 CI/CD (2/2)
hhzz
50 1

阿里云安全

热门文章

最新文章

  • 1
    云效常见问题之appstack连接自定义k8s连不上如何解决
  • 2
    【云原生】kubeadm快速搭建K8s集群Kubernetes1.19.0
  • 3
    深度解析:Kubernetes 1.28.2集群安装过程中的关键步骤
  • 4
    搭建k8s集群kubeadm搭建Kubernetes二进制搭建Kubernetes集群
  • 5
    利用Helm在K8S上部署 PolarDB-X 集群(详细步骤--亲测!!!)
  • 6
    Kubernetes(k8s)集群健康检查常用的五种指标
  • 7
    Ubuntu 22.04 利用kubeadm方式部署Kubernetes(v1.28.2版本)
  • 8
    Kubernetes(K8s 1.27.x) 快速上手+实践,无废话纯享版
  • 9
    LLM 技术图谱(LLM Tech Map)& Kubernetes (K8s) 与AIGC的结合应用
  • 10
    Docker+K8s基础(重要知识点总结)
  • 1
    Kubernetes的“厨房”:架构是菜谱,组件是厨具,资源对象是食材(上)
    74
  • 2
    在Kubernetes上运行Flink应用程序时
    32
  • 3
    如何通过计算巢在ACK集群上使用Istio服务网格
    31
  • 4
    Docker容器管理
    35
  • 5
    云原生K8S场景自动化响应ECS系统事件
    121
  • 6
    k8s 开通openstack
    54
  • 7
    云计算中的容器化技术:Docker与Kubernetes的实践
    74
  • 8
    934.【kubernetes】kubeadm版本更新证书
    48
  • 9
    TCP 中的 Delay ACK 和 Nagle 算法
    31
  • 10
    K8S基于NFS来动态创建PV【亲测可用】
    69

    • 相关课程

    更多
  • 体验-Kubernetes 对象及资源规范
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 应用性能管理场景下自动探查风险
  • ACK集群应用部署进阶
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 通过会话管理端口转发功能访问ECS内部服务

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • terraform
    • 下一篇
    阿里云oss简介和使用流程