Выводы из отчета по безопасности Kubernetes за 2023 год

Отчет о безопасности развертывания системы Kubernetes за 2023 год основан на сканировании более 200 000 облачных учетных записей. В нем ясно подчеркнуто наличие угроз на различных этапах пути атаки на кластеры Kubernetes. В ходе исследования специалисты обнаружили, что общая безопасность контейнеров крайне низка, хотя известно, что эти среды являются привлекательными целями для злоумышленников (и количество попыток их взлома растет).

Среды Kubernetes становятся главной целью

Согласно экспериментам, проведенным исследовательской группой Wiz, только что созданному кластеру Kubernetes требуется всего 22 минуты, чтобы получить первые попытки вредоносного сканирования.

На графике ниже показан рост числа общедоступных API-серверов K8s:

Однако, чем больше популярен Kubernetes, тем больше и риски безопасности. На следующем графике показаны открытые конечные точки kubelet, которые должны быть недоступны внешнему сканеру:

В Kubernetes растут не только риски безопасности, но и количество атак. Кластеры идеально подходят для увеличения рабочих нагрузок криптомайнинга. Известные майнеры, такие как XMRig, CCMiner и XMR-Stak-RX, все чаще работают в инфраструктурах Kubernetes.

Злоумышленники также становятся все более опытными в переключении с кластеров K8s на облако и наоборот. Например, первоначальный метод RBAC Buster для доступа к API-серверу K8s использовал привилегии анонимного доступа, но затем вредоносное ПО пытается украсть учетные данные AWS и распространиться в облачную инфраструктуру.

Другие атаки доходят до кражи интеллектуальной собственности.

Особенно пугает скорость, с которой вновь созданный кластер становится мишенью. Цифры на графике ясно указывают на то, что Kubernetes становится центральной целью.

Низкий уровень безопасности контейнеров

Лишь 9% кластеров используют сетевые политики для разделения трафика внутри кластера.

Сообщество отреагировало рядом мер контроля, новыми функциями и решениями по архитектурному проектированию, чтобы улучшить состояние безопасности управляемых и локальных кластеров. Но, несмотря на разнообразие вариантов безопасности, мы все еще отстаем.

На графике представлена ​​статистика, которая описывает использование и внедрение основных функций безопасности:

Выводы в контексте цепочки атак K8s

Глубокая защита — лучший шанс предотвратить потенциальное нападение.

Проецируя статистику на типичную цепочку атак Kubernetes, мы можем рассуждать о наиболее уязвимых точках экосистемы. Как только злоумышленник проник в вашу среду, его уже ничто не сможет остановить. С точки зрения риска есть несколько важных тенденций:

— У злоумышленника меньше шансов получить доступ через плоскость управления: доля неправильных конфигураций или уязвимостей относительно невелика.

— Как только злоумышленник получит доступ, у него появится множество возможностей для перемещения и повышения своих привилегий внутри кластера.

— Impact — это последняя линия защиты, и там отсутствуют методы обеспечения безопасности, особенно в отношении облачного impact из-за множества вариантов перехода в облако. Эти возможности будут только расширяться по мере того, как Kubernetes будет более тесно интегрироваться в более крупную облачную среду.

Возможно, худшая тенденция — это недостаточное использование мер безопасности на всех этапах атаки. Сообщество должно уделять приоритетное внимание внедрению безопасности