用于管理攻击面的网络安全平台提供商发布的一份报告发现,三大云服务提供商提供的Kubernetes集群实例很容易受到各种潜在的网络攻击。
研究小组针对三大主要云服务产品中的每一个对Kubernetes特定威胁活动进行了14次模拟,所有三个提供商的成功检测率在6.6%到20%之间。报告显示,亚马逊网络服务(AWS)、微软和谷歌的平均得分合计为13.3%。
所有三个云服务提供商也未能记录足够的信息来识别八个威胁模拟中的威胁活动。
安全研究员表示,报告明确指出,需要额外的网络安全工具和平台来正确保护在云中运行的Kubernetes集群。此外,还提供了日志记录工具。
仅仅依赖云服务提供商提供的工具的企业基本上对网络犯罪分子可以用来破坏Kubernetes环境的一系列策略和技术视而不见。
尽管云服务提供商多年来一直明确表示网络安全是一项共同责任,但许多企业仍然不确切了解云服务提供商为实现这一目标而原生提供哪些功能。太多的企业仍然认为云服务提供商正在提供在其平台上本地运行的全套工具,而事实上,他们要么提供作为附加订阅服务的功能,要么缺乏只能由第三方提供的功能平台。
这种不明确性导致了很容易被利用的漏洞,因为有关云安全的假设被证明存在严重缺陷。对于那些允许几乎没有网络安全专业知识的开发人员自行配置云基础设施的企业来说,这个问题尤其成问题。因此,大量云服务经常会出现配置错误,例如,留下可用于泄露数据的开放端口。考虑到Kubernetes集群固有的复杂性,出现错误配置的可能性呈指数级增长。
理论上,采用DevSecOps最佳实践将减少错误配置。然而,每个企业都需要确定如何以不增加实现和维护所需的认知负荷的方式最好地实施这些最佳实践。大多数开发人员对网络安全没什么兴趣,因此用于安全配置Kubernetes集群的流程必须尽可能顺畅,以确保开发人员的工作效率不会受到不利影响。
目前尚不清楚云计算中的Kubernetes环境受到损害的频率,但考虑到许多云原生应用程序的任务关键型性质,可以安全地假设网络犯罪集团和民族国家正在积极寻找利用任何弱点的方法。事实上,除非另有证明,许多企业可能希望假设他们之前部署的任何Kubernetes集群都已经受到损害。
