Kubernetes报告其开源安全审计的结果

什么是Kubernetes？业务流程如何重新定义数据中心？

在四年多一点的时间里，这个诞生于谷歌内部容器管理的项目，颠覆了VMware、微软、甲骨文等所有可能成为数据中心之王的公司的最佳计划。

除非你一直生活在岩石下，否则新的软件安全问题几乎每天都会出现。当地云计算基金会(CNCF)的人一定注意到了这一点。因此，当需要审计最重要的容器编程程序Kubernetes的安全性时，CNCF尝试了一种开源方法来检查其安全性问题。

这不是一个新的想法。感谢核心基础设施计划(CII)最佳实践徽章计划。这个经过认证的开源项目必须表明他们遵循安全最佳实践。CII在其他三个项目中使用了这种方法：CoreDNS，特使和普罗米修斯。然后，它在一个大的：Kubernetes中使用了它。

由于Kubernetes是一个庞大的项目，其功能从API网关到容器编译再到网络等。CNCF的第三方安全审计团队跟踪了Kubernetes 3360最常用的八个组件。

他们发现，虽然Kubernetes已经被广泛部署，但它需要大量的安全工作。报告：中描述的钻头轨迹

“评估团队发现，Kubernetes的配置和部署非常重要，有些组件的默认设置令人困惑，缺乏操作控制和隐式设计的安全控制。”

至于代码，它说，“Kubernetes代码库的状态还有很大的改进空间。”

具体来说，该团队发现了34个重要的Kubernetes漏洞，其中333，604个漏洞非常严重；15中度严重；8.严重性低；和七个信息严重性。两个最严重的bug : CVE-2019-11247和CVE-2019-11249已经在Kubernetes 1.13.9、1.14.5和1.15.2的新版本中修复。前者允许命名空间中的用户访问集群范围的资源。后者允许攻击者滥用kubectl cp命令在客户端计算机上创建或替换文件。

Kubernetes用户应仔细阅读审计报告。要确保Kubernetes集群为您和您的客户安全工作，还有很多工作要做。

尽管这个团队为开发人员和管理员做了大量工作，但CNCF将被用来发现并公开揭露Kubernetes的问题。现在已经公开了，可以修复了。正如每天不断出现的新安全漏洞所显示的那样，除了攻击者之外，任何人对安全风险保持沉默都是不好的。

免责声明：本文由用户上传，如有侵权请联系删除！