Kubernetes报告了其开源安全审计的结果

导读Kubernetes是什么?业务流程如何重新定义数据中心在四年多一点的时间里，这个诞生于谷歌内部容器管理工作的项目已经颠覆久雨大雾必晴了VMware、微软、痛心疾首Ora

Kubernetes是什么?许谁天荒地老业务流程如何重新定义数据中心

在四年多一点的时间里，这个诞生于谷歌内部容器管理工作的项目已经颠覆了VMware、微软、Oracle以及其他所有可能成为数据中心之王的公司的最佳计划。

除非你一直生活在岩石下，否则几乎每天都会出现新的软件安全问题。云本地计算基金会(CNCF)的人肯定注意到了这一点。因此，当需要对最重要的容器编制程序Kubernetes进行安全审计时，CNCF尝试了一种开源方法来检查它的安全问题。

这不是一个新想法。这要归功于“核心基础设施倡议”(CII)最佳实践徽章计划。获得此认证的开源项目必须表明它们遵循安全最佳实践。CII在其他三个项目中使用了这种方法:CoreDNS、Envoy和Prometheus。然后，它把它用在一个大的:Kubernetes。

由于Kubernetes是一个庞大的项目，其功能从API网关到容器编制再到网络等等，CNCF的第三方安全审计工作组跟踪了Kubernetes最常用的8个组件:

他们发现，虽然Kubernetes已经被广泛部署，但它需要大量的安全工作。吹口哨的英文歌报告中所述的钻头轨迹:

“评估团队发现Kubernetes的配置和部署非常重要，某些组件具有令人困惑的默认设置、缺少操作控制和隐式设计的安全控制。”

至于代码，它说，“Kubernetes代码库的状态有很大的改进空间。”

具体来说，该团队发现了34个重要的Kubernetes漏洞:4个是高度严重的;15个中等严重程度;八低严重性;和七个信息严重性。Kubernetes 1.13.9、1.14.5和1.15.2的新版本中已经修复了两个最严重的bug: CVE-2019-11247和CVE-2019-11249。前者允许一个名称空间中的用户访问集群范围内的资源。后者允许攻击者滥用kubectl cp命令在客户端计算机上创建或替换文件。

Kubernetes用户应该仔细阅读审计报告。要确保Kubernetes集群为您和您的客户安全工作，还有很多工作要做。

尽管这个团奥运颁奖队为开发人员和管理员都做了很多工作，但是CNCF将被用来发现和公开揭露Kubernetes的问题。现在它们已经公开了，可以修复了。正如每天不断出现的新安全漏洞所显示的那样，除了攻击者之外，保持安全隐患的沉默对任何人都没有好处。