De Amerikaanse geheime dienst NSA heeft in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security advies gepubliceerd voor het beveiligen van Kubernetes-omgevingen.
Kubernetes is een opensourcesysteem voor het automatiseren van de uitrol en het beheer van applicaties die in containers draaien. Kubernetes-clusters worden vaak in een cloudomgeving gehost en bieden volgens de NSA meer flexibiliteit dan bij normale softwareplatformen het geval is.
Een kubernetes-cluster bestaat uit een aantal zogeheten control planes en één of meer fysieke of virtuele machines genaamd worker nodes. De worker nodes hosten de Pods, die één of meer containers bevatten. Deze containers zijn images met 'ready-to-run' software die alles bevat om een applicatie te draaien.
Volgens de NSA zijn Kubernetes-omgevingen geregeld het doelwit van aanvallen, en dan met name als doel het stelen van gegevens. Ook komt het voor dat de onderliggende infrastructuur wordt misbruik voor cryptomining. In de "Kubernetes Hardening Guidance" doen de NSA en het CISA verschillende aanbevelingen om Kubernetes-omgevingen extra te beveiligen (pdf).
Zo wordt aangeraden om containers en Pods op kwetsbaarheden en misconfiguraties te scannen, en met zo min mogelijke rechten te laten draaien. Verder wordt netwerksegmentatie aangeraden om de gevolgen van een aanval te beperken en moeten firewalls worden gebruikt om niet noodzakelijke netwerkverbindingen te voorkomen. Ook adviseren de NSA en het CISA het gebruik van sterke authenticatie en autorisatie om toegang van gebruikers en beheerders te beperken en zo het aanvalsoppervlak te verkleinen.
Deze posting is gelocked. Reageren is niet meer mogelijk.