NSA, CISA ออกคู่มือการเพิ่มความปลอดภัยให้ Kubernetes

NSA และ CISA ออกคู่มือแนะนำการเสริมความปลอดภัย (hardening) ให้ Kubernetes หหลังจากคลัสเตอร์ Kubernetes ตกเป็นเป้าโจมตีมากขึ้น ตั้งแต่ความพยายามขโมยข้อมูล, หรือแฮกเพื่อขุดเงินคริปโต

คำแนะนำโดยทั่วไปคล้ายกับแนวทางการคอนฟิกเสริมความปลอดภัยอื่นๆ โดยมีหลัก 7 ประการได้แก่

• สแกนคอนเทนเนอร์หาช่องโหว่หรือการคอนฟิกผิดพลาด
• รันคอนเทนเนอร์โดยให้สิทธิ์น้อยที่สุดเท่าที่เป็นไปได้
• แยกเน็ตเวิร์คแต่ละส่วนออกจากกัน
• ใช่ไฟร์วอลล์เพื่อป้องกันการเชื่อมต่อที่ไม่ต้องการ และเข้ารหัสการเชื่อมต่อ
• ยืนยันตัวตนผู้ใช้ด้วยระบบที่แข็งแกร่ง และจำกัดสิทธิ์ผู้ใช้เท่าที่จำเป็น
• เก็บล็อกสำหรับตรวจสอบการทำงานเสมอ
• รีวิวคอนฟิกเป็นช่วงๆ เพื่อลดความเสี่ยง

คำแนะนำลงรายละเอียดค่อนข้างมาก ระบุแนวปฎิบัติที่ดีสำหรับการคอนฟิก ทั้งการเขียน Dockerfile, การคอนฟิก Pod, การคอนฟิกไฟร์วอลล์, และการเปิดใช้งาน audit policy

ที่มา - NSA