近期，技術(shù)安全領(lǐng)域傳來(lái)警示，微軟方面公開(kāi)提醒用戶注意，在使用Kubernetes進(jìn)行應(yīng)用部署時(shí)，可能會(huì)因默認(rèn)配置不當(dāng)而埋下安全隱患。這一風(fēng)險(xiǎn)尤其在使用Helm charts進(jìn)行快速部署時(shí)顯著，可能導(dǎo)致敏感數(shù)據(jù)暴露于公網(wǎng)，引發(fā)嚴(yán)重的安全威脅。

Kubernetes，這一容器編排領(lǐng)域的明星開(kāi)源平臺(tái)，憑借其自動(dòng)化部署、擴(kuò)展及管理容器化應(yīng)用的能力，贏得了廣泛認(rèn)可。而Helm，作為Kubernetes的包管理工具，通過(guò)預(yù)定義的charts簡(jiǎn)化了復(fù)雜應(yīng)用的部署流程。然而，安全研究人員指出，眾多Helm charts的默認(rèn)配置中，安全防護(hù)措施缺失嚴(yán)重。

據(jù)微軟Defender for Cloud Research團(tuán)隊(duì)的兩名專(zhuān)家透露，對(duì)于缺乏云安全經(jīng)驗(yàn)的用戶而言，直接使用這些未經(jīng)調(diào)整的默認(rèn)配置，可能會(huì)無(wú)意中將服務(wù)暴露于互聯(lián)網(wǎng)，成為攻擊者的潛在獵物。這些服務(wù)一旦被攻擊者掃描發(fā)現(xiàn)，就可能被惡意利用。

報(bào)告詳細(xì)列舉了三大典型案例，以警示用戶。首先，Apache Pinot的Helm chart默認(rèn)通過(guò)Kubernetes的LoadBalancer服務(wù)暴露了其核心組件，如pinot-controller和pinot-broker，且未啟用身份驗(yàn)證機(jī)制。其次，Meshery允許通過(guò)公開(kāi)IP地址進(jìn)行注冊(cè)，這意味著攻擊者可輕易獲取集群操作權(quán)限。最后，Selenium Grid默認(rèn)通過(guò)NodePort暴露服務(wù)，盡管官方提供的Helm chart已修復(fù)此問(wèn)題，但部分社區(qū)項(xiàng)目仍存在類(lèi)似風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全領(lǐng)域的最新研究顯示，已有攻擊者利用這類(lèi)配置錯(cuò)誤，在受影響的系統(tǒng)上部署了惡意軟件，如用于挖掘加密貨幣的XMRig礦工。這些攻擊不僅威脅到數(shù)據(jù)的安全性，還可能對(duì)系統(tǒng)的穩(wěn)定運(yùn)行造成嚴(yán)重影響。

鑒于此，微軟強(qiáng)烈建議用戶在使用Helm charts部署應(yīng)用前，務(wù)必對(duì)默認(rèn)配置進(jìn)行細(xì)致審查，確保啟用了身份驗(yàn)證機(jī)制和網(wǎng)絡(luò)隔離策略。用戶還應(yīng)定期對(duì)暴露的接口進(jìn)行安全掃描，并加強(qiáng)對(duì)容器運(yùn)行過(guò)程中的異常行為監(jiān)控，以防范潛在的安全風(fēng)險(xiǎn)。

研究人員還著重指出，忽視對(duì)YAML文件和Helm charts的審查，可能導(dǎo)致企業(yè)在毫不知情的情況下部署了完全暴露的服務(wù)，從而成為攻擊者的攻擊目標(biāo)。因此，加強(qiáng)安全審查和配置管理，已成為企業(yè)在使用Kubernetes和Helm時(shí)不可或缺的安全防線。