近日,有技术媒体报道指出,微软方面发出警告,称在 Kubernetes 的部署过程中,存在由于默认配置不当而引发的安全隐患。特别是使用现成的 Helm charts 进行部署时,可能会导致敏感信息被暴露在公网中,带来严重的安全风险。
Kubernetes 是一个广泛使用的开源平台,主要用于自动化部署、扩展和管理容器化应用。而 Helm 则是一种包管理工具,通过预定义的部署模板(即 charts)来简化复杂应用的安装流程。然而,研究人员指出,许多 Helm charts 在默认设置中缺乏必要的安全防护措施。
微软 Defender for Cloud Research 的两位研究人员表示,如果用户缺乏云安全方面的经验,直接采用这些未经调整的默认配置,就有可能将服务无意间暴露在互联网中,从而被攻击者扫描到并加以利用。
报告中提到了三个较为典型的案例:
1. Apache Pinot 的 Helm chart 默认通过 Kubernetes 的 LoadBalancer 服务暴露了其核心组件,例如 pinot-controller 和 pinot-broker,并未启用身份验证机制。
2. Meshery 允许通过公开的 IP 地址进行注册,这意味着任何人都可以获取集群的操作权限。
3. Selenium Grid 默认通过 NodePort 暴露了服务,依赖外部防火墙进行保护。虽然官方提供的 Helm chart 并无此问题,但一些社区项目仍存在类似风险。
网络安全研究显示,已有攻击者利用这类错误配置部署恶意程序,例如用于挖掘加密货币的 XMRig 矿工。
因此,微软建议用户在使用 Helm charts 部署应用之前,务必仔细检查默认配置,确保启用了身份验证机制以及网络隔离策略。同时,也应定期对暴露在外的接口进行扫描,并加强对容器运行过程中的异常行为监控。
研究人员特别强调,若忽视对 YAML 文件及 Helm charts 的审查,企业很可能在毫无察觉的情况下部署了完全暴露的服务,从而成为攻击者的潜在目标。
标签: 新闻资讯
