Безопасность • Kubernetes

Безопасность Kubernetes:
Чек-лист 2024

Комплексное руководство по защите кластеров от современных векторов атак. Внедрение проверок через Verifly.

Визуализация работы подов в Kubernetes кластере

Текущие угрозы для кластеров K8s

В 2024 году вектор атак сместился с периметра сети внутрь контейнеризованных сред.

🔑

Утечка Service Accounts

Слежение за токенными секретами (ServiceAccount Tokens) и несанкционированный доступ к API-серверу кластера через права RBAC.

🌐

Латеральное движение

Отсутствие строгих Network Policies позволяет злоумышленнику, получившему доступ к одному поду, сканировать и атаковать другие сервисы.

📦

Уязвимости Supply Chain

Использование образов с уязвимыми библиотеками (CVE) из публичных репозиториев без предварительной верификации сигнатур.

Пункт 1: Управление секретами

Ваши API-ключи и пароли не должны храниться в открытом виде в YAML-файлах манифестов.

Используйте интеграцию с Vault или AWS Secrets Manager. Verifly позволяет настроить автоматическую проверку конфигурации деплоя: если секреты переданы через env вместо secretKeyRef, пайплайн блокируется на этапе CI.

Рекомендация: Включите автоматическую ротацию токенов и ограничьте права ServiceAccounts по принципу наименьших привилегий.

Пункт 2: Сетевые политики

Network Policies — это брандмауэр на уровне подов. По умолчанию в K8s трафик между подуами открыт.

Необходимо явно прописать правила Ingress и Egress. Используйте Verifly для мониторинга конфигураций кластера в реальном времени: система мгновенно оповестит, если под попытается отправить трафик на внешний IP-адрес без соответствующей политики.

Пункт 3: Аудит логов контроллера

Без аудита вы не знаете, что происходит в вашем кластере, пока не станет слишком поздно.

Аудит API-сервера (Audit Logging) фиксирует все запросы к кластеру. Это критически важно для расследования инцидентов. Однако объемы логов могут быть огромными.

Интегрируйте Verifly с вашим стеком логирования (ELK/Splunk) для валидации структуры логов аудита. Это гарантирует, что критические события (например, создание нового пользователя или изменение RBAC ролей) не будут пропущены парсерами.

Автоматизация

Автоматизация чек-листа через Verifly

Не доверяйте ручным проверкам. Перенесите этот чек-лист в код.

Verifly выступает как "Gatekeeper" для вашей инфраструктуры. Мы предлагаем готовые шаблоны (Templates) для проверки конфигураций Kubernetes.

  • Проверка отсутствия privileged: true в securityContext.
  • Валидация тегов образов (запрет использования :latest).
  • Контроль наличия Resource Limits и Requests.
Подключить кластер Скачать конфиг
// Пример валидации через Verifly SDK
const verify = require('verifly-k8s');

verify.cluster('production')
  .check('no-privileged-containers')
  .check('secrets-not-in-env')
  .on('violation', (err) => {
    console.error(`Security breach: ${err}`);
    process.exit(1);
  });