近日，科技新聞界傳來一則關(guān)于Kubernetes安全性的重要警報。據(jù)bleepingcomputer報道，微軟在其最新的安全研究中指出，使用Kubernetes進(jìn)行應(yīng)用部署時，特別是通過Helm charts進(jìn)行快速部署，存在重大的安全隱患。

Kubernetes，這一開源平臺，因其能夠自動化地部署、擴展及管理容器化應(yīng)用而廣受歡迎。Helm，作為Kubernetes的包管理工具，通過charts大大簡化了復(fù)雜應(yīng)用的部署流程。然而，微軟Defender for Cloud Research團(tuán)隊的研究人員Michael Katchinskiy和Yossi Weizman卻發(fā)現(xiàn)，許多Helm charts的默認(rèn)配置中缺少了關(guān)鍵的安全措施。

研究人員警告，對于缺乏云安全經(jīng)驗的用戶來說，直接使用這些默認(rèn)配置可能會將服務(wù)無意間暴露在互聯(lián)網(wǎng)上，從而增加了被攻擊者掃描并利用漏洞的風(fēng)險。這一問題在現(xiàn)成的Helm charts中尤為突出。

為了具體說明這一問題，微軟在其報告中列舉了三個典型的案例。Apache Pinot的Helm chart通過Kubernetes LoadBalancer服務(wù)暴露了核心組件，如pinot-controller和pinot-broker，且未設(shè)置任何身份驗證措施。Meshery則可以通過暴露的IP地址進(jìn)行公開注冊，使得任何人都有可能獲取集群的操作權(quán)限。而Selenium Grid則通過NodePort在所有集群節(jié)點上暴露了服務(wù)，僅僅依賴于外部防火墻進(jìn)行保護(hù)。

值得注意的是，盡管官方的Helm chart可能不存在這些問題，但在GitHub上的許多項目中，類似的安全隱患仍然普遍存在。事實上，網(wǎng)絡(luò)安全公司W(wǎng)iz曾發(fā)現(xiàn)攻擊者利用Selenium Grid的配置錯誤，部署了XMRig礦工來挖掘Monero加密貨幣。

針對這一現(xiàn)狀，微軟強烈建議用戶在使用Helm charts時，從安全角度出發(fā)，仔細(xì)審查其默認(rèn)配置，確保包含了身份驗證和網(wǎng)絡(luò)隔離等關(guān)鍵的安全措施。微軟還建議用戶定期掃描公開暴露的工作負(fù)載接口，并密切監(jiān)控容器中的可疑活動，以防止?jié)撛诘陌踩{。

研究人員進(jìn)一步強調(diào)，如果不仔細(xì)檢查YAML文件和Helm charts，企業(yè)可能會在沒有任何保護(hù)的情況下部署服務(wù)，從而完全暴露在攻擊者的威脅之下。這一警告無疑為所有使用Kubernetes和Helm進(jìn)行應(yīng)用部署的企業(yè)和個人敲響了警鐘。

微軟還建議，為了提高整體的安全性，企業(yè)可以考慮采用更為嚴(yán)格的訪問控制和身份驗證機制，以及加強網(wǎng)絡(luò)安全培訓(xùn)和意識提升，確保所有員工都能夠充分認(rèn)識到并遵守最佳的安全實踐。

最后，隨著云計算和容器化技術(shù)的不斷發(fā)展，安全性的挑戰(zhàn)也將日益復(fù)雜。因此，微軟呼吁所有相關(guān)企業(yè)和個人，持續(xù)關(guān)注最新的安全動態(tài)和技術(shù)進(jìn)展，以確保自身的應(yīng)用和服務(wù)始終處于最安全的狀態(tài)。