记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

RSA解读 | Kubernetes集群的攻与防

在2022年RSA大会上,来自CyberArk的高级安全研究员 Eviatar Gerzi为我们分享了Kubernetes集群的攻击面和防御策略以及如何利用两款开源工具(Kubesploit和KubiScan)对集群环境进行攻击和防御。本文试图以Gerzi的思路为依据,从攻击和防御的角度来简单聊一聊Kubernetes集群安全。一简介1. Kubernetes 简介Kubernetes是一个可移植、可扩展的开源平台,用于管理容器化工作负载和服务[1]。
发布时间:2022-06-22 20:04 | 阅读:18806 | 评论:0 | 标签:Kubernetes

浅谈 Kubernetes 安全风险 Part.1

0x00 前言 在上一篇文章中介绍了容器相关的风险,本文将目光集中在容器编排平台 K8s 上面,来简单的介绍一下关于 K8s 平台本身因为配置等因素从而造
发布时间:2022-06-17 17:35 | 阅读:17763 | 评论:0 | 标签:6443 8080 Api Server Kubelet Kubernetes Kubernetes Dashboard

洞见RSA2022 | 使用Marblerun在Kubernetes上进行可扩展的机密计算

阅读:242022年RSA大会已经结束,其主题“Transform(转型)”的提出,进一步引导企业思考其生产力、业务发展方向应如何顺应当前所追求的数字经济和环保节能,特别是传统IT模式逐步往云环境切换已经是大势所趋。那云环境应如何实现安全可控呢?机密计算是很好的探索。如何基于Kubernetes云的环境下实现机密计算?在当前云环境越来越多的情况下,其机密性越来越重要,相信在不久的将来也许会成为云安全建设的一个重要部分。下面我们主要分析下基于marblerun的机密计算。一、背景数据安全的三大支柱分别是保护静态数据、传输中数据和使用中数据。其中,静态加密和传输中的数据加密,大家都很熟悉。
发布时间:2022-06-17 14:13 | 阅读:16497 | 评论:0 | 标签:安全分享 RSA RSA2022 RSA大会 机密计算 Kubernetes

云原生服务风险测绘分析

阅读:23一、概述Etcd是一个高可用的分布式键值对数据库,其是由CoreOS团队于2013年6月发起的开源项目,基于Go语言实现,距今已将近10年时间,目前在Github上已有40K的Star数和8.6K的Fork数,社区非常活跃,有超过700位贡献者。从版本整体发展历史来看,Etcd主要有v2和v3两个版本,v3版本较v2版本相同点在于它们共享一套Raft协议代码,不同点在于两个版本的数据是相互隔离的,即若将v2版本升级至v3版本,原来的v2版本的数据还是只能用v2版本的接口访问,而不能被v3版本的接口所访问。
发布时间:2022-06-09 19:46 | 阅读:24415 | 评论:0 | 标签:安全分享 Etcd Kubernetes 云原生安全 云原生服务风险分析 分布式存储 网络空间测绘 分析

Kubernetes集群添加运行containerd runtime的 work节点

背景: kuberadm搭建的1.15的初始集群,参见:2020-07-22-腾讯云-slb-kubeadm高可用集群搭建 ,嗯后面进行了持续的升级:2019-09-23-k8s-1.15.3-update1.16.0,1.16版本最后持续小版本升级到了1.16.15(小版本升级唯写升级过程)。最后升级版本到了1.17.17:Kubernetes 1.16.15升级到1.17.17。计划后面还是会持续升级到最新的1.21的。只不过最近线上有项目在测试。升级部分先暂停,近期准备先扩容一下集群。由于搭建1.20.5集群测试的时候使用了containerd跑了下也还好。
发布时间:2022-06-06 03:09 | 阅读:21496 | 评论:0 | 标签:AI Kubernetes

Kubernetes 1.16.15升级到1.17.17

背景: 线上kubernetes环境使用kubeadm搭建.当时应该是1.15的kubeadm搭建的。稳定运行了近两年的时间。其中升级了一次大版本从1.15升级到1.16。进行过多次小版本升级。现在的版本为1.16.15。中间也曾想升级过版本到更高的版本,但是升级master的时候出现异常了,还好是三节点的master集群,就恢复到了1.16的版本。一直没有进行更高版本的升级。
发布时间:2022-05-29 02:59 | 阅读:29069 | 评论:0 | 标签:Kubernetes

超过 380,000 个 Kubernetes API 服务器面临一系列攻击

Kubernetes 是一个开源容器编排系统,用于自动化软件部署、扩展和管理。Shadowserver 基金会开始扫描可访问的 Kubernetes API 实例,这些实例以 200 OK HTTP 响应对探测器进行响应。 “在我们能够识别的超过45万个API中,我们每天发现超过38万个允许某种形式的访问的 Kubernetes API。这些数据每天都会在我们的可访问Kubernetes API 服务器报告中共享。”, 扫描结果并不意味着这些服务器完全开放或容易受到攻击,它表明服务器具有“不必要地暴露攻击面”的情况。
发布时间:2022-05-26 15:23 | 阅读:27459 | 评论:0 | 标签:网络攻击 Kubernetes 攻击 API

VMware助力企业确保云和数据中心的Kubernetes配置安全

Kubernetes资源应该具有间接访问云账户管理员角色的权限吗?答案是否定的,但实际上违反最小特权原则的配置却十分常见,而且经常导致灾难性的云账户劫持。VMware最近的一项研究1显示,97%的企业存在Kubernetes安全问题(图-1)。满足安全与合规要求已成为部署(59%的受访者)和管理(47%的受访者)Kubernetes的头号挑战。缺乏对Kubernetes最佳实践的了解以及由此产生的错误配置会给云原生应用安全带来巨大的威胁。
发布时间:2022-05-26 09:56 | 阅读:23134 | 评论:0 | 标签: 安全 Kubernetes 配置

在 Kubernetes 中如何给 NodePort 配置 NetworkPolicy

1. 需求背景 如上图,业务方需要隔离 namespae 的服务,禁止 bar 空间的负载访问,而允许用户从 Load Balancer (LB) 通过 NodePort 访问服务。可以很容易地写出
发布时间:2022-05-26 03:03 | 阅读:28312 | 评论:0 | 标签:Kubernetes 配置

38万个Kubernetes API服务器暴露在公网

研究人员发现,有超过38万个Kubernetes API服务器允许对公共互联网进行访问,这就使得这个用于管理云部署的流行开源容器成为了威胁者的一个攻击目标和广泛的攻击面。根据本周发表的一篇博文,Shadowserver基金会在扫描互联网上的Kubernetes API服务器时发现了这个问题,受影响的服务器已经超过了45万个。根据该帖子,ShadowServer每天会对IPv4空间的443和6443端口进行扫描,寻找响应'HTTP 200 OK状态'的IP地址,这表明该请求已经成功。
发布时间:2022-05-25 19:26 | 阅读:27665 | 评论:0 | 标签:API Kubernetes

Kubernetes中资源的管理与调度

背景: 不知道有没有小伙伴跟我一样在集群创建应用的时候没有详细计算过自己的资源配比。然后我是看到kubectl top node 一看每个节点还有很多的资源,就直接创建了几个资源配比较高的应用,而且这几个应用是高负载运行的....然后的结果就是集群中好多应用开始崩溃了...... 为什么要限制资源? 1. 对pod进行资源限制,可以防止由于某一个pod应用过多占用资源,造成其他应用异常。 2. 资源的有效隔离。 3. pod调度的优先级。 4. 资源的高效合理利用。
发布时间:2022-05-25 15:42 | 阅读:21474 | 评论:0 | 标签:Kubernetes

Kubernetes部署应用

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
发布时间:2022-05-12 09:46 | 阅读:20751 | 评论:0 | 标签:Kubernetes

Kubernetes traefik tls证书到期替换

背景: ssl证书都是一年签发的。到了六月份了一年一度的证书替换的日子到了.......。过去的方法一直都是先delete secret,然后继续创建一个新的。这次就突发奇想的,还有其他方法吗......百度了一下还真的搜索到了: https://blog.csdn.net/cyxinda/article/details/107854881 我的证书是在腾讯云上面购买的 TrustAsia 域名型(DV)通配符(1 年)的 ssl证书。 image.png 考虑到成本毕竟申请的dv的泛域名证书。
发布时间:2022-05-12 02:23 | 阅读:36555 | 评论:0 | 标签:Kubernetes

Kubernetes基础环境搭建

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
发布时间:2022-05-10 09:45 | 阅读:26744 | 评论:0 | 标签:Kubernetes

浅谈云上攻防——Etcd风险剖析

Etcd简介 Etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库, 用于服务发现、共享配置以及一致性保障等。目前已广泛应用在kubernetes、ROOK、CoreDNS、M3以及openstack等领域。 Etcd内部采用raft协议作为一致性算法,基于Go语言实现。从组成上来看,Etcd主要由四个部分组成:HTTP Server、Store、Raft以及WAL。
发布时间:2022-04-29 19:33 | 阅读:50885 | 评论:0 | 标签:业务安全 2379 Etcd Etcd风险 HTTP Server Kubernetes Raft STORE WAL

Kubernetes部署php 应用时候memory_limit的修改

背景:基础环境:centos8+kubeadm1.20.5+cilium+hubble环境搭建,traefik提供对外服务:Kubernetes 1.20.5 安装traefik在腾讯云下的实践。跑了几个基础的php服务。基础镜像是参考的https://github.com/richarvey/nginx-php-fpm搭建。然后php报错:Allowed memory size of 134217728 bytes exhausted (tried to allocate 6291488 bytes)临时需要调整个参数。不想重新打镜像啊。
发布时间:2022-04-27 02:05 | 阅读:43153 | 评论:0 | 标签:PHP Kubernetes

数字取证之Kubernetes DFIR实用指南

Kubernetes 是什么,Kubernetes 是一个全新的基于容器技术的分布式架构解决方案,是 Google 开源的一个容器集群管理系统,Kubernetes 简称 K8S。用于自动部署、扩展和管理容器化(containerized)应用程序。在本文中,我们将介绍为何 Kubernetes 的 DFIR 如此重要,以及如何评估你的容器 DFIR 功能。我们还将看到一个完整的场景,深入挖掘影响 Kubernetes pod 的事件,以及要采取的对应步骤。
发布时间:2022-04-25 14:37 | 阅读:37657 | 评论:0 | 标签:Kubernetes

云原生服务风险测绘分析(一):Docker和Kubernetes

阅读:24一、概述近年来随着云原生服务的大规模应用,互联网上暴露的相应资产越来越多,通过网络空间测绘技术可对暴露的资产进行数据统计及进一步的分析,从而有效赋能态势感知、漏洞预警、风险溯源等技术领域。笔者近期针对云原生各类服务进行了具体的测绘分析。本篇为云原生服务测绘系列的首篇,主要从资产发现、资产脆弱性和漏洞介绍、资产脆弱性发现三个维度分析了我们日常使用的Docker及Kubernetes服务所存在的风险。
发布时间:2022-04-20 19:05 | 阅读:51718 | 评论:0 | 标签:安全分享 Docker Kubernetes 云原生服务风险分析 网络空间测绘 分析

保姆级别~手把手教你部署一个最小化的 Kubernetes 集群

虽然网上有大量从零搭建 K8S 的文章,但大都针对老版本,若直接照搬去安装最新的 1.20 版本会遇到一堆问题。故此将我的安装步骤记录下来,希望能为读者提供 copy and paste 式的集群搭建帮助。
发布时间:2022-04-19 09:41 | 阅读:21954 | 评论:0 | 标签:Kubernetes

《2021网络空间测绘年报》| 国内77%的 Kubernetes资产受到已知漏洞影响

全文共828字,阅读大约需2分钟。近年来,云原生的概念越来越多地出现在人们的视野中,可以说云原生是云计算时代的下半场,云原生的出现是云计算不断与具体业务场景融合,与开发运营一体化碰撞的结果。谈到云原生,不得不提出推动云原生发展的CNCF(Cloud Native Computing Foundation 云原生计算基金会) 。CNCF是一个孵化、运营云原生生态的中立组织,其对云原生的见解是:“云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。
发布时间:2022-04-07 17:52 | 阅读:30210 | 评论:0 | 标签:漏洞 网络 Kubernetes

kubernetes 降本增效标准指南|理解弹性,应用弹性

王孝威,腾讯云容器产品经理,热衷于为客户提供高效的 Kubernetes 使用方式,为客户极致降本增效服务。 弹性伸缩在云计算领域的简述 弹性伸缩又称自动伸缩,是云计算场景下一种常见的方法,弹性伸缩可以根据服务器上的负载,按一定的规则进行弹性的扩缩容服务器。 弹性伸缩在不同场景下的含义: 对于服务运行在自建机房的公司,弹性伸缩通常意味着允许一些服务器在低负载时进入睡眠状态,从而节省电费(以及用于冷却机器的水费和电费)。 对于使用在托管于云上的机房的公司而言,自动扩展可能意味着更低的费用,因为大多数云提供商都基于总使用量而不是最大容量进行收费。
发布时间:2022-03-23 17:53 | 阅读:29240 | 评论:0 | 标签:Kubernetes

Kubernetes中如何使用临时容器进行故障排查

容器及其周围的生态系统改变了工程师部署、维护和排查工作负载故障的方式。但是,在 Kubernetes 集群上调试应用程序有时可能会很困难,因为你可能在容器中找不到所需的调试工具。许多工程师使用基于精简、发行版构建无发行版的基础镜像,其中甚至没有包管理器或shell。甚至一些团队使用 scratch 作为基础镜像,并且只添加应用程序运行所需的文件。这种常见做法的一些原因是:具有较小的攻击区域。为了获得更快的扫描性能。减小了镜像大小。为了有更快的构建和更短CD/CI周期。减少依赖关系。这些精简的基础镜像不包括用于对应用程序或其依赖项进行故障排查的工具。
发布时间:2022-03-21 12:25 | 阅读:49494 | 评论:0 | 标签:容器 Kubernetes

使用开源的 Kubernetes 漏洞扫描和测试

本文讲的是如何使用 Kubesploit 和 KubiScan 提高云本地安全性。主流科技企业广泛使用Kubernetes,它是一个可扩展、轻量级的开源容器编排平台。这个受欢迎的平台拥有不断扩展的安全工具、支持和服务生态系统,使其成为管理容器分配和服务的首选平台。但Kubernetes 容器还是存在多种安全风险,包括运行时威胁、漏洞、暴露和失败的合规性审计。这些不安全感促使 CyberArk 开发了两个开源工具:Kubesploit 和 KubiScan。这些工具通过在模拟真实攻击的同时执行深度安全操作,使 Kubernetes 社区受益。
发布时间:2022-03-16 13:21 | 阅读:40758 | 评论:0 | 标签:扫描 漏洞 Kubernetes

kubernetes 中 ipvs 连接复用引发的系列问题

本文摘自 kubernetes 学习笔记 背景 在 Kubernetes 社区里面有一个讨论已久的 bug (#81775),这个问题是当 client 对 service 发起大量新建 TCP 连接时,新的连接被转发到 Terminating 或已完全销毁的旧 Pod 上,导致持续丢包 (报错 no route to host),其根因是内核 ipvs 连接复用引发,本文来详细掰扯下。
发布时间:2022-03-11 15:12 | 阅读:30949 | 评论:0 | 标签:Kubernetes

kubernetes 实用技巧: 在 SHELL 中传递信号

本文摘自 kubernetes 学习笔记背景在 Kubernetes 中,Pod 停止时 kubelet 会先给容器中的主进程发 SIGTERM 信号来通知进程进行 shutdown 以实现优雅停止,如果超时进程还未完全停止则会使用 SIGKILL 来强行终止。但有时我们会遇到一种情况: 业务逻辑处理了 SIGTERM 信号,但 Pod 停止时好像没收到信号导致优雅停止逻辑不生效。
发布时间:2022-03-01 02:03 | 阅读:47888 | 评论:0 | 标签:shell Kubernetes

kubernetes 实用技巧: 使用 ksniff 抓包

本文摘自 kubernetes 学习笔记概述Kubernetes 环境中遇到网络问题需要抓包排查怎么办?传统做法是登录 Pod 所在节点,然后 进入容器 netns,最后使用节点上 tcpdump 工具进行抓包。整个过程比较繁琐,好在社区出现了 ksniff 这个小工具,它是一个 kubectl 插件,可以让我们在 Kubernetes 中抓包变得更简单快捷。本文将介绍如何使用 ksniff 这个工具来对 Pod 进行抓包。
发布时间:2022-02-28 15:11 | 阅读:39101 | 评论:0 | 标签:Kubernetes

kubernetes部署springboot项目使用configmap尝试

背景: 我的基础环境all in kubernetes,参见:https://cloud.tencent.com/developer/article/1806089,https://cloud.tencent.com/developer/article/1811859后端大佬们玩springboot cloud项目.故要讲springboot cloud项目部署在kubernetes集群中。其实使用springboot cloud架构我还是有所反对的。看过一些文章如:https://www.cnblogs.com/lakeslove/p/10997011.html。
发布时间:2022-02-25 04:42 | 阅读:65233 | 评论:0 | 标签:Kubernetes

Argo CD漏洞泄露Kubernetes敏感信息

Argo CD漏洞可以从Kubernetes APP泄露敏感信息。Argo CD是一个主流的、开源、持续交付(Continuous Delivery)平台,被广泛应用于Kubernetes的声明性GitOps连续交付。漏洞概述Apiiro安全研究人员在Argo CD平台中发现了一个0 day漏洞,漏洞CVE变化为CVE-2022-24348,CVSS 评分为7.7分。该漏洞是一个路径遍历漏洞,攻击者利用该漏洞可以实现权限提升、信息泄露和进一步攻击。
发布时间:2022-02-17 13:25 | 阅读:51366 | 评论:0 | 标签:漏洞 泄露 Kubernetes

Kubernetes 1.20.5 upgrade 1.21.0

背景: 集群环境参照:centos8+kubeadm1.20.5+cilium+hubble环境搭建。kubernets有了新的版本。1.21.0。嗯准备升级一下啊。 1. Kubernetes 1.20.5 upgrade 1.21.0过程 1. 查看
发布时间:2022-02-17 04:37 | 阅读:122298 | 评论:0 | 标签:Kubernetes

实现Kubernetes安全加固的六个建议

随着更多的组织开始拥抱云原生技术,Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流,很大程度上简化了容器化应用程序的部署、扩展和管理,并实现了自动化,为传统的单体式系统提供了胜于传统管理协议的众多优势。然而,管理大规模的Kubernetes带来了一系列独特挑战,包括加固集群、保护供应链以及运行时检测威胁。本文结合云原生计算基金会(CNCF)、美国国家安全局(NSA)以及网络安全和基础设施安全局(CISA)的诸多最佳实践,整理出Kubernetes安全加固的6个建议,帮助组织降低风险。集群设置和加固保护Kubernetes环境从加固集群开始。
发布时间:2022-02-10 14:08 | 阅读:33322 | 评论:0 | 标签:安全加固 容器安全 加固 安全 Kubernetes

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁

本页关键词 💎