NSA และ CISA ออกคำแนะนำเรื่อง Kubernetes Security

NSA และ CISA ได้ร่วมกันออกเอกสารจำนวน 52 หน้า เพื่อให้คำแนะนำสำหรับการสร้างความมั่นคงปลอดภัยในการใช้งาน Kubernetes

credit : BleepingComputer

โดยภาพรวมแล้ว NSA ชี้ว่าความเสี่ยงมาจาก 3 ส่วนคือ Supply-chain Attacks, กลุ่มคนร้ายไม่หวังดีและ ภัยคุกคามจากภายใน อย่างไรก็ดีเป็นไปไม่ได้ที่แอดมินจะสามารถป้องกันภัยทั้งสามได้ทั้งหมด ซึ่งทำได้เพียงปกป้องให้ดีที่สุดและเลี่ยงการตั้งค่าผิดพลาด ในแต่ละหมวดต่างๆของเอกสารมีประเด็นดังนี้

Kubernetes Pod Security

  • ไม่ให้แอปรันด้วยระดับสิทธิ์ root บน container ถ้าทำได้ให้รันด้วย immutable file systems, สแกนค้นหาช่องโหว่หรือการตั้งค่าผิดพลาดใน Container Image
  • ใช้ Pod Security Policy เพื่อจำกัดความมั่นคงปลอดภัย เช่น ดูแลเรื่องสิทธิ์ของ Container, ไม่อนุญาตให้ Container มีสิทธิ์ Execute ในสิทธิ์ระดับ Root หรือยกระดับสิทธิ์ไม่ได้, ป้องกันฟีเจอร์ที่มักมีการใช้เจาะระบบบ่อยครั้ง และใช้เครื่องมือป้องกันเช่น SELinux, AppArmor หรือ seccomp

Network Separation & Hardening

  • ควบคุมการเข้าถึงโหนดของ Control Plane ด้วย Firewall และ RBAC
  • จำกัดการเข้าถึงเซิร์ฟเวอร์ Kubernetes etcd
  • เก็บข้อมูล Credentials หรือข้อมูลที่สำคัญไว้ใน Kubernetes Secrets แทนการใส่ไว้ในไฟล์คอนฟิค รวมถึงต้องเข้ารหัสด้วยวิธีการที่มั่นใจได้
  • ตั้งค่าส่วนประกอบของ Control Plane ให้มีการพิสูจน์ตัวตน หรือเข้ารหัสการเชื่อมต่อด้วย TLS
  • ตั้งค่า Network Policy เพื่อแยกขาดทรัพยากรอย่างเหมาะสม

Authentication & Authorization

  • ปิดการล็อกอินด้วย Anonymous
  • ใช้การพิสูจน์ตัวตนที่แข็งแกร่ง
  • ใช้ RBAC กับแอดมิน ผู้ใช้งาน บริการ และกิจกรรมของ service account

Log auditing

  • เปิด Log เสมอ
  • ดูให้แน่ใจว่ามีการตั้งค่าการเก็บ Log ที่เหมาะสมและไม่หาย

Upgrading & Application Security Practice

  • อัปเดตแพตช์ด้าน Security โดยทันที
  • ทำการสแกนช่องโหว่และทดสอบเจาะระบบสม่ำเสมอ
  • กำจัดส่วนประกอบในระบบที่ไม่ได้ใช้งานแล้ว

ศึกษาเอกสารฉบับเต็มได้ที่ https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

ที่มา : https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar: TRUSTED THIRD-PARTY RISK MANAGEMENT – Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber

TechTalkThai ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "TRUSTED THIRD-PARTY RISK MANAGEMENT - Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber" เพื่อเรียนรู้โซลูชันการประเมินความเสี่ยงให้องค์กรของท่านจาก SecurityScorecard ทั้งมุมมองภายนอกและ Third party ที่เกี่ยวข้อง

อนาคตของระบบเครือข่ายภายใน Data Center โดย HPE Aruba

ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cloud & Data Center 2022 ที่เพิ่งจบไป คุณไญยวิทย์ กังใจ Presales Consultant …