Kubernetes 集群攻击
Kubernetes 集群攻击 是什么?
Kubernetes 集群攻击针对 Kubernetes(K8s)集群的入侵,利用暴露的 API、薄弱的 RBAC 或脆弱的工作负载来控制控制平面或工作节点。
Kubernetes 集群攻击针对 kube-apiserver、kubelet、etcd 或工作负载本身,以执行代码、窃取机密或接管集群。常见入口包括无认证暴露的 kube-apiserver、可写的 kubelet 端口、易受攻击的准入 webhook、被窃取的 service account 令牌以及拥有过多权限的 Pod。获得立足点后,攻击者寻找的路径包括通过 hostPath 或特权容器实现 Pod 到节点逃逸、对 API 重放 service account 令牌,或滥用 cluster-admin 角色绑定。防御措施包括严格的 RBAC、基于 OIDC 的认证、网络策略、运行时安全(Falco、Tetragon)、Kyverno 或 OPA Gatekeeper 等准入控制器,以及签名的最小化容器镜像。
● 示例
- 01
暴露在 10250 端口的 Kubelet API 允许在节点上的任意 Pod 中执行命令。
- 02
泄露的 service account 令牌允许在所有命名空间中列出 secret。
● 常见问题
Kubernetes 集群攻击 是什么?
针对 Kubernetes(K8s)集群的入侵,利用暴露的 API、薄弱的 RBAC 或脆弱的工作负载来控制控制平面或工作节点。 它属于网络安全的 云安全 分类。
Kubernetes 集群攻击 是什么意思?
针对 Kubernetes(K8s)集群的入侵,利用暴露的 API、薄弱的 RBAC 或脆弱的工作负载来控制控制平面或工作节点。
Kubernetes 集群攻击 是如何工作的?
Kubernetes 集群攻击针对 kube-apiserver、kubelet、etcd 或工作负载本身,以执行代码、窃取机密或接管集群。常见入口包括无认证暴露的 kube-apiserver、可写的 kubelet 端口、易受攻击的准入 webhook、被窃取的 service account 令牌以及拥有过多权限的 Pod。获得立足点后,攻击者寻找的路径包括通过 hostPath 或特权容器实现 Pod 到节点逃逸、对 API 重放 service account 令牌,或滥用 cluster-admin 角色绑定。防御措施包括严格的 RBAC、基于 OIDC 的认证、网络策略、运行时安全(Falco、Tetragon)、Kyverno 或 OPA Gatekeeper 等准入控制器,以及签名的最小化容器镜像。
如何防御 Kubernetes 集群攻击?
针对 Kubernetes 集群攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
Kubernetes 集群攻击 还有哪些其他名称?
常见的别称包括: K8s 集群入侵, Kubernetes 入侵。
● 相关术语
- cloud-security№ 211
容器逃逸
一种突破容器与宿主机隔离边界的攻击,使攻击者在底层节点或内核上执行代码。
- cloud-security№ 505
IAM 权限提升
利用现有的云 IAM 权限获取更高权限,常见手段包括修改策略、传递角色或为自身授予管理员权限。
- cloud-security№ 190
云端令牌窃取
从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。
- cloud-security№ 183
云端数据外泄
未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。
- cloud-security№ 255
CSPM 发现项
云安全态势管理(CSPM)工具在云资源违反安全基线、策略或合规规则时生成的告警。
● 参见
- № 182云端挖矿劫持