Kubernetes报告其开源安全审计的结果

什么是Kubernetes？业务流程如何重新定义数据中心？

在四年多一点的时间里，这个诞生于谷歌内部容器管理的项目，颠覆了VMware、微软、甲骨文等所有可能成为数据中心之王的公司的最佳计划。

除非你一直生活在岩石下，否则新的软件安全问题几乎每天都会出现。当地云计算基金会(CNCF)的人一定注意到了这一点。因此，当需要审计最重要的容器编程程序Kubernetes的安全性时，CNCF尝试使用开源方法来检查其安全问题。

这不是一个新的想法。感谢核心基础设施计划(CII)最佳实践徽章计划。这个经过认证的开源项目必须表明他们遵循了安全最佳实践。CII在另外三个项目中使用了这种方法：CoreDNS，特使和普罗米修斯。然后，它用在了一个大的：Kubernetes。

由于Kubernetes是一个巨大的项目，它的功能范围从API网关到容器编译到网络。CNCF的第三方安全审计团队跟踪了Kubernetes 3360最常用的八个组件。

他们发现，虽然Kubernetes已经被广泛部署，但它需要大量的安全工作。报告中描述的钻头轨迹。

“评估小组发现，Kubernetes的配置和部署非常重要，一些组件的默认设置混乱，缺乏隐式设计的操作控制和安全控制。”

至于代码，它说，“Kubernetes代码库的地位还有很大的提升空间。”

具体来说，该团队发现了34个重要的Kubernetes漏洞，其中333，604个非常严重。15中重度；8.严重性低；和七种信息严重性。两个最严重的错误， CVE-2019-11247和CVE-2019-11249，已在Kubernetes 1.13.9，1.14.5和1.15.2的新版本中修复。前者允许命名空间中的用户访问集群范围的资源。后者允许攻击者滥用kubectl cp命令在客户端计算机上创建或替换文件。

Kubernetes用户应该仔细阅读审计报告。要确保Kubernetes集群为您和您的客户安全工作，还有许多工作要做。

虽然这个团队为开发者和管理员做了很多工作，但CNCF将被用来发现和公开揭露Kubernetes的问题。既然公开了，就可以修复了。正如每天不断出现的新的安全漏洞所表明的那样，除了攻击者，对安全风险保持沉默对任何人都没有好处。