Lấy cắp một cụm Kubernetes: Một ví dụ thực tế!

Kubernetes Là Gì? Vai Trò Và Các Thuật Ngữ Phổ Biến

Kubernetes (viết tắt là k8s) góp bạn hoàn toàn có thể quản lí lý (hoặc “điều phối”) tất cả các lượng làm việc được chứa vào của quý khách, bao gồm cung cung cấp, connect mạng, cân nặng bằng vận chuyển, bảo mật và mở rộng lớn quy mô. Docker hoàn toàn có thể chạy độc lập mà không muốn có Kubernetes, nhưng Kubernetes không thể và sinh hoạt mà ko có công ty container như Docker. Kubernetes giúp con người ta loại vứt cực kỳ nhiều các các bước tay chân liên quan đến việc khai triển và mở rộng các containerized applications.

Tiêu đề video: Hacking a Kubernetes Cluster: A Practical Example!

Độ dài: 00:11:51, Ngày đăng: 2021-08-14 14:00:12

Tác giả: KodeKloud

Link gốc: https://www.youtube.com/watch?v=L_ej12aahNI

Trong video này, chúng ta sẽ tìm hiểu tổng quan về bề mặt tấn công của Kubernetes thông qua một bản demo thú vị về việc hack vào một . Có nhiều khu vực dễ bị tấn công và đó là những gì chúng ta sẽ xem xét trong bài giảng này. Để bắt đầu với chính Đám mây. Cơ sở hạ tầng lưu trữ cụm Kubernetes không được bảo mật đúng cách và cho phép truy cập vào các cổng trên cụm từ mọi nơi. Nếu tường lửa mạng được đặt ra, chúng tôi có thể đã ngăn chặn việc truy cập từ xa vào hệ thống của kẻ tấn công. Đây là chữ C đầu tiên trong bảo mật Cloud-native. Nó đề cập đến tính bảo mật của toàn bộ cơ sở hạ tầng lưu trữ các máy chủ. Đây có thể là một đám mây riêng hoặc một đám mây công cộng, một trung tâm dữ liệu lưu trữ các máy vật lý, một môi trường đồng định vị. Chúng tôi thảo luận thêm về vấn đề này trong phần cuối cùng của khóa học, nơi chúng tôi nói về cách phát hiện tất cả các giai đoạn tấn công bất kể nó xảy ra ở đâu và lây lan như thế nào. Tiếp theo là bảo mật cụm. Kẻ tấn công có thể dễ dàng truy cập thông qua trình nền docker bị lộ công khai, cũng như bảng điều khiển Kubernetes bị lộ công khai mà không có cơ chế xác thực hoặc ủy quyền thích hợp. Điều này có thể được ngăn chặn nếu tuân theo các phương pháp hay nhất về bảo mật trong việc bảo vệ daemon docker, API Kubernetes cũng như bất kỳ GUI nào mà chúng tôi sử dụng để quản lý cụm, chẳng hạn như Bảng điều khiển Kubernetes. Chúng tôi xem xét những vấn đề này chi tiết hơn trong phần đầu tiên của khóa học, nơi chúng tôi nói về thiết lập và làm cứng Cluster. Chúng ta sẽ xem cách bảo mật daemon docker và bảng điều khiển Kubernetes cũng như các phương pháp hay nhất khác cần tuân thủ như sử dụng chính sách mạng và xâm nhập. Tiếp theo là hộp đựng. Tin tặc có thể chạy bất kỳ vùng chứa nào mà cô ấy lựa chọn mà không bị hạn chế về việc nó đến từ kho lưu trữ nào hoặc nó có thẻ gì. Kẻ tấn công có thể chạy một vùng chứa ở chế độ đặc quyền, điều này lẽ ra phải được ngăn chặn. Kẻ tấn công cũng có thể cài đặt bất kỳ ứng dụng nào cô ấy muốn trên đó mà không có bất kỳ hạn chế nào. Những điều này có thể được ngăn chặn nếu các hạn chế được đưa ra để chỉ chạy hình ảnh từ một kho lưu trữ nội bộ an toàn và nếu các vùng chứa đang chạy ở chế độ đặc quyền không được phép. Và thông qua hộp cát, các thùng chứa được cách ly tốt hơn. Chúng tôi thảo luận về những vấn đề này trong phần Giảm thiểu lỗ hổng dịch vụ nhỏ cũng như các phần bảo mật chuỗi cung ứng của khóa học. Và cuối cùng là Code. Mã đề cập đến chính mã ứng dụng. Các ứng dụng mã hóa cứng với thông tin xác thực cơ sở dữ liệu hoặc chuyển thông tin quan trọng thông qua các biến môi trường, để lộ các ứng dụng có TLS là những phương pháp mã hóa không tốt. Điều này chủ yếu nằm ngoài phạm vi của khóa học này, tuy nhiên, chúng tôi đề cập đến một số lĩnh vực như bảo mật thông tin quan trọng bằng bí mật và kho tiền, cho phép mã hóa kim loại để bảo mật giao tiếp từ nhóm đến nhóm, v.v. Để tìm hiểu thêm về Bảo mật trong Điện toán gốc đám mây và Kubernetes, hãy xem khóa học của chúng tôi về các chuyên gia bảo mật Kubernetes được chứng nhận. Chúng tôi đi sâu vào từng lĩnh vực này và hiểu các lỗ hổng bảo mật phổ biến và các mối quan tâm về bảo mật trong môi trường cũng như cách bảo vệ hệ thống của chúng tôi khỏi bị tấn công. Khóa học hoàn toàn thực hành với các hoạt động trong phòng thí nghiệm sẽ giúp bạn xác nhận và ghi nhớ những gì bạn đã học trong các video. Điều này cũng sẽ giúp bạn chuẩn bị và vượt qua kỳ thi Chuyên gia Bảo mật Kubernetes được Chứng nhận. Vì vậy, hãy tham gia cộng đồng sinh viên của chúng tôi tại cks.kodekloud.com HackingaKubernetesCluster kodekloud.

Xem thêm:  Bán dẫn Đài Loan trong tâm điểm đối đầu Mỹ - Trung

Container Deployment

Container vô cùng dễ dàng nhằm chạy, những bạn dev rất có thể dùng container để tạo ra môi trường nhằm dev trả hảo trong vài giây, tuy rằng nhiên Khi dùng container ở môi ngôi trường production thì ko đơn giản và giản dị vì vậy. Điều đó không có nghĩa là bạn dạng thân những container không hữu ích. Các container đã trở thành trọng tâm chủ yếu của nhiều công ty mong muốn tiên phong vào gửi đổi số và có vận tốc ra mắt dịch vụ mới thời gian nhanh chóng.

Các bạn đang theo dõi chuyên mục công nghệ

Web site: sapovietnam

Nội dung được tổng hợp từ internet. Vui lòng để lại comment nếu muốn đóng góp/ý kiến về nội dung bài post.

About huongsales

Check Also

Thiết lập cụm Kubernetes 3 nút phiên bản 1.22 từ đầu, trên các phiên bản Ubuntu

Kubernetes Là Gì? Vai Trò Và Các Thuật Ngữ Phổ Biến Kubernetes (viết tắt là …

28 comments

  1. What is this tools for port scanning? And where I can get it ?

  2. Néstor Reverón

    Awesome 👌

  3. RamaKrishna Bommerla

    amazing explanation 🙂 great use-case

  4. cue fargo theme

  5. Himanshu kumar Singh

    Great presentation

  6. Nguyễn Anh Nguyên

    Nice… 🙂

  7. Adriano Forcellini

    Someone know how can i put a logo in my zsh terminal, like that?

  8. I can understand ssh port being open by mistake…. but I can't wrap around why docker port is opened?

  9. Pavel Voronin

    By default docker running only as Unix service

  10. Matteo Baiguini

    can you please share the material you used for the demo? maybe a git repo?

  11. Abhishek Jaiswal

    where can we get the dirty-cow.sh

  12. Tendai Musonza

    I subscribed within the first few seconds of hearing the quality stuff ,lol

  13. Abhishek Hiremath

    Nice

  14. Not a realistic production scenario. Webservers/Load Balancers are usually on a different server and network than the Kubernetes cluster. The cluster itself has no direct internet connectivity and only ports exposed to the world are the HTTP(S) ports of the load balancers

  15. Very good demo for people who don't know about hacking

  16. From 2021 Kubernetes (v1.20+) removes the default dependency on docker in favour of containerd. This "attack" may work on a badly configured Kubernetes version prior to that and also on a poorly configured docker swarm cluster.

  17. This is the epitome of one jumps into kubernetes too quickly without regards to any best practices (pain points: exposed docker port + conn string as env var) whatsoever…

  18. Do people really run their docker hosts with no authentication and their kubernetes dashboards exposed to the internet?

  19. Having the docker port exposed is simply the most stupid thing I think someone can do on a cluster. Why they did this?

  20. Abdur Rahman H R

    Great clip with crisp coverage on security

  21. Ileriayo Adebiyi

    That election story surely was scary!!!

    Great video, Mumshad!

    Always love your videos!

  22. Tendai Musonza

    Wonderful, great hands on presentation

  23. Awesome 👍😎

  24. Manoj Pansare

    Excellent and eye opener….👌👌👌

  25. Marvellous

  26. Ismael GraHms

    Great content

  27. Sajeer Rehman

    great content

Leave a Reply