2018年黑客入侵了特斯拉在亚马逊上的Kubernetes容器集群。由于该集群控制台未设置密码保护，黑客便得以在一个Kubernetes pod中获取到访问凭证，然后据此访问其网络存储桶S3，通过S3获取到了一些敏感数据，比如遥测技术，并且还在特斯拉的Kubernetes pod中进行挖矿。

黑客们潜入到了没有密码保护的Kubernetes管控台。在一个Kubernetes pod里面，盗取了Tesla的公有云环境的访问权限，而对应公有云环境中则存放着如telemetry的敏感数据。

除了裸露的数据之外，RedLock还注意到此次攻击中一些更为复杂的检测躲避手段。

首先，没有使用知名的公共“矿池”。他们安装挖矿软件，并通过恶意脚本链接上未列出/半公共端点。其次，黑客通过CloudFlare隐藏了矿池服务器的真实IP地址，CloudFalre是一个免费的CDN服务。通过该服务获得新的IP地址。因此常见标准的基于IP或域的探测很难检测到此类恶意行为。

挖矿软件监听的是非标准端口，基于端口的恶意检测也变得很困难。黑客们的挖矿软件保持“低调”，没有造成CPU使用过高，资源的占用不易被发现。

该事件只是Kubernetes漏洞利用的一个典型案例。

近年来，以Kubernetes为代表的安全编排工具让企业实现了应用的自动化部署，给企业带来了巨大的业务收益。但是，和传统环境下一样，这些部署也很容易受到黑客和内鬼的攻击和利用，Kubernetes的安全也因此成为容器使用中重点保护对象。

一、Kubernetes

1.什么是 Kubernetes

Kubernetes 是一个开源的容器编排平台，最初由 Google 设计并捐赠给 Cloud Native Computing Foundation (CNCF) 孵化。Kubernetes 可以自动化地部署、扩展和管理容器化应用程序，并提供了许多便捷的特性，如服务发现、负载均衡、自我修复等。Kubernetes 的核心理念是将应用程序和基础设施分离，以便更快、更安全、更灵活地开发和部署云原生应用程序。

Kubernetes 的组件可以分为两大类：控制平面和数据平面。控制平面包括 Kubernetes API Server、etcd 存储、控制器管理器、调度器等，负责管理存储在 etcd 中的集群状态、决策运行环境中的容器位置、标记、限制等。数据平面包括各种节点，包括容器运行时、kubelet 守护进程、kube-proxy 代理服务器，负责维护容器的生命周期、数据流量、负载均衡等。

Kubernetes 提供了一种能够轻松创建和部署容器的方式，其灵活性和可扩展性使其成为一种非常流行的应用程序部署和管理平台。

2.Kubernetes 为什么需要安全

虽然 Kubernetes 具有许多优点，但也有许多安全考虑因素必须被认真考虑。以下是 Kubernetes 安全威胁的一些例子：

（1）权限问题

一个被破坏的容器可以在多个 Pod 之间传播，导致 Kubernetes 集群的整体安全受到威胁。除非良好配置 Kubernetes 中的用户和角色，否则攻击者可能具有比他们应有的更多的权限。

（2）网络问题

由于 Kubernetes 的高度自动化性质，容易使权限分配分散并产生混乱。这种情况下，攻击者可以利用 Kubernetes 上的漏洞横向移动和扩展他们在集群中的访问级别。另外，安全的网络策略和在应用程序层面进行保护，包括服务发现和容器网络配置，保证应用程序和数据不被更容易受到攻击，也可能受到损害。

（3） 控制面

如果 Kubernetes API Server 面临攻击活动，则可以修改，添加或删除集群状态，从而危及整个集群的安全性。此外，一个被攻击的 Pod 可以进行许多可能对其他 Pod 或主机产生灾难性后果的活动，例如嗅探流量并尝试修改 Pod 以增加攻击面。

（4） 镜像安全问题

容器的镜像可以随时被替换，而没有办法验证该镜像的内容和完整性。因此，出现一个恶意镜像的情况下，整个特定容器中的数据和应用程序可以遭受严重威胁。

3.Kubernetes 安全秘籍简介

为了最大化您的 Kubernetes 集群的安全性，必须了解安全性相关的最佳做法和原则。以下是几个基本的 Kubernetes 安全秘籍：

（1）配置 Kubernetes 对象的 RBAC

为保护 Kubernetes 集群，必须对在 Kubernetes 中运行的对象、Pod 和状态对象进行身份验证和授权。Kubernetes Role-Based Access Control（RBAC）为应用于 Kubernetes API 对象的最佳做法之一，以管理访问 Kubernetes API 对象的授权和权限。

（2）使用安全的容器基础映像

可以通过使用最佳安全实践来加强容器的安全性。而选择合适的基础镜像是实现此目标的重要部分，例如，只使用来自可信源的映像，尽可能减少容器中的客户端库数量。

（3）配置 Kubernetes 的网络和策略

安全的网络和防护策略可以保护 Kubernetes 集群免受威胁。通过配置网络插件实现网络隔离，并设置 Pod 和服务之间的网络策略以提高安全性。

（4）使用 Kubernetes 安全扫描器进行安全审计

使用 Kubernetes 安全扫描器可以查找到容器映像中的潜在漏洞，确保每个大容器镜像都没有安全漏洞，需要及时修复。

二、配置 Kubernetes 集群

1.Minikube 安装

Minikube 是 Kubernetes 的一种轻量级实现，它可以在局域网内快速搭建一个 Kubernetes 集群用于测试、开发和学习。

（1）Minikube 的安装步骤：

安装虚拟机软件：Minikube 需要在虚拟机中运行，建议使用 VirtualBox 或者 HyperKit。VirtualBox 是跨平台的免费软件，而 HyperKit 是 macOS 中提供的轻量级虚拟化解决方案。

安装 kubectl：kubectl 是 Kubernetes 的命令行工具，用于管理 Kubernetes 集群。可以通过以下命令安装：

curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
chmod +x ./kubectl
sudo mv ./kubectl /usr/local/bin/kubectl