目錄
前言 1
目錄
第1 章 概述 9
1.1 場景介紹10
1.2 威脅模型12
1.2.1 威脅主體 .13
1.2.2 第一個威脅模型 16
1.3 關於攻擊樹 19
1.4 攻擊樹案例 20
1.5 現有的技術 23
1.6 小結 .24
第2 章 pod 資源詳情 25
2.1 默認配置25
2.2 威脅模型27
2.3 對攻擊的剖析 .28
2.3.1 遠程代碼執行 28
2.3.2 網絡攻擊面 29
2.4 Kubernetes 工作負載：pod 中的應用程序 31
2.5 什麼是pod ？ .33
2.6 了解容器37
2.6.1 共享網絡和存儲 39
2.6.2 最壞的情況可能會是什麼？ .40
2.6.3 容器逃逸 .44
2.7 pod 配置和威脅 .47
2.7.1 pod 頭部 48
2.7.2 反向正常運行時間 .49
2.7.3 標簽 50
2.7.4 托管字段 .50
2.7.5 pod 命名空間和所有者 .51
2.7.6 環境變量 .51
2.7.7 容器鏡像 .52
2.7.8 pod 探針 55
2.7.9 CPU 和內存限制和請求 55
2.7.10 DNS .56
2.7.11 pod securityContext .59
2.7.12 pod Sevice Accounts 61
2.7.13 調度器和容忍度 61
2.7.14 pod 卷定義 62
2.7.15 pod 網絡狀態 63
2.8 正確使用securityContext .63
2.8.1 使用Kubesec 增強securityContext 65
2.8.2 強化的securityContext .66
2.9 進入風暴中心 .72
2.10 小結 72
第3 章 容器運行時隔離 .75
3.1 默認配置76
3.2 威脅模型76
3.3 容器，虛擬機和沙盒 79
3.3.1 虛擬機是如何工作的.81
3.3.2 虛擬化的好處 84
3.3.3 容器有哪些問題？ .85
3.3.4 用戶命名空間缺陷 .86
3.4 沙盒化（sandboxing） 91
3.4.1 gVisor 94
3.4.2 Firecracker 102
3.4.3 Kata Container 103
3.4.4 rust-vmm 105
3.5 沙盒化的風險 107
3.6 Kubernetes 運行時類 107
3.7 本章小結. 108
第4 章 應用程序和供應鏈 111
4.1 默認配置. 112
4.2 威脅模型. 112
4.3 供應鏈 . 113
4.3.1 軟件 . 117
4.3.2 掃描CVE . 118
4.3.3 采用開源軟件 . 119
4.3.4 我們應該相信哪些生產商？ 120
4.4 CNCF 安全技術咨詢組 122
4.4.1 架構容器化應用以提高彈性 122
4.4.2 檢測木馬 123
4.5 攻擊供應鏈 124
4.5.1 攻擊的持續性 . 126
4.5.2 繫統面臨的風險 127
4.6 容器鏡像構建供應鏈 128
4.6.1 軟件工廠 128
4.6.2 神聖的鏡像工廠 129
4.6.3 基礎鏡像 130
4.7 容器供應鏈的狀態 . 132
4.7.1 來自第三方代碼的風險 . 133
4.7.2 軟件材料清單 . 134
4.7.3 人類身份和GPG 136
4.8 對數據簽名 137
4.8.1 Notary v1 137
4.8.2 sigstore 137
4.8.3 in-toto 和TUF 139
4.8.4 GCP 二進制授權 140
4.8.5 Grafeas 140
4.9 基礎設施供應鏈 . 140
4.9.1 Operator 權限 .140
4.9.2 攻擊上遊供應鏈 141
4.10 供應鏈攻擊的類型 142
4.10.1 攝取開源代碼 144
4.10.2 貫穿SDLC 的應用程序漏洞 146
4.11 防御SUNBURST .147
4.12 小結 150
第5 章 網絡 . 151
5.1 默認配置. 152
5.1.1 pod 內網絡 154
5.1.2 pod 間通信 155
5.1.3 pod 與工作節點間的流量 . 155
5.1.4 集群外部流量 . 156
5.1.5 ARP 的狀態 .157
5.1.6 無securityContext 158
5.1.7 無工作負載身份 159
5.1.8 無網絡傳輸加密 159
5.2 威脅模型. 160
5.3 流量流向控制 161
5.3.1 安裝 . 161
5.3.2 網絡策略前來救援！ 165
5.4 服務網格. 168
5.4.1 概念 . 168
5.4.2 選項和采用 . 168
5.4.3 案例研究：使用Linkerd 的mTLS 170
5.5 eBPF . 173
5.5.1 概念 . 173
5.5.2 選項和采用 . 174
5.5.3 案例研究：將探針附加到Go 程序 . 175
5.6 小結 177
第6 章 存儲 . 179
6.1 默認配置. 180
6.2 威脅模型. 180
6.3 卷和數據存儲 183
6.3.1 一切皆是字節流 183
6.3.2 何為文件繫統？ 184
6.3.3 容器中的卷和掛載 186
6.3.4 OverlayFS 186
6.3.5 tmpfs 188
6.3.6 掛載卷打破了容器隔離 . 190
6.3.7 基於/proc/self/exe 的漏洞 193
6.4 靜態的敏感信息 . 195
6.4.1 Secret 掛載 195
6.4.2 攻擊掛載的Secret 196
6.5 Kubernetes 存儲 197
6.5.1 容器存儲接口 . 197
6.5.2 投射卷 198
6.5.3 攻擊卷 200
6.5.4 主機目錄掛載的風險 202
6.5.5 從數據存儲中洩露的其他Secret 203
6.6 小結 203
第7 章 硬性多租戶 205
7.1 默認配置. 206
7.2 威脅模型. 206
7.3 命名空間資源 207
7.3.1 節點池 208
7.3.2 節點污點 210
7.4 軟性多租戶 212
7.5 硬性多租戶 213
7.5.1 敵對租戶 213
7.5.2 沙盒和策略 . 214
7.5.3 公有雲多租戶 . 215
7.6 控制平面. 216
7.6.1 API server 和etcd .218
7.6.2 調度器和控制器管理器 . 220
7.7 數據平面. 223
7.8 集群隔離架構 225
7.9 集群支持服務和工具環境 . 227
7.10 安全監控和可見性 227
7.11 小結 228
第8 章 策略 . 229
8.1 策略的類型 230
8.2 雲服務提供商 230
8.2.1 網絡流量 232
8.2.2 限制資源分配 . 232
8.2.3 資源配額 232
8.2.4 運行時策略 . 233
8.2.5 訪問控制策略 . 234
8.3 威脅模型. 234
8.4 普遍預期. 235
8.4.1 碎玻璃場景 . 235
8.4.2 審計 . 236
8.5 認證和授權 236
8.5.1 人類用戶 238
8.5.2 工作負載身份 . 238
8.6 基於角色的訪問控制（RBAC） 242
8.6.1 RBAC 回顧 . 242
8.6.2 一個簡單的RBAC 例子 243
8.6.3 創建RBAC . 245
8.6.4 分析和可視化RBAC 248
8.6.5 RBAC 相關的攻擊 250
8.7 通用策略引擎 251
8.7.1 開放策略代理（OPA） .251
8.7.2 Kyverno . 258
8.7.3 其他策略方案 . 260
8.8 小結 261
第9 章 入侵檢測 . 263
9.1 默認配置. 264
9.2 威脅模型. 264
9.3 傳統的IDS 265
9.4 基於eBPF 的IDS 267
9.4.1 Kubernetes 和容器入侵檢測 268
9.4.2 Falco 268
9.5 基於機器學習方法的IDS 271
9.6 容器取證. 271
9.7 蜜罐技術. 274
9.8 審計 276
9.9 檢測規避. 277
9.10 安全運營中心 279
9.11 小結 279
第10 章 組織 281
10.1 最薄弱的連接點 282
10.2 雲服務提供商 284
10.2.1 責任共擔 285
10.2.2 賬戶衛生 286
10.2.3 對人員和資源進行分組 287
10.2.4 其他注意事項 289
10.3 本地環境 290
10.4 常見注意事項 292
10.4.1 威脅模型爆炸 292
10.4.2 SLO 如何給你帶來額外的壓力 295
10.4.3 社會工程 295
10.4.4 隱私和監管問題 . 298
10.5 小結 298
附錄A pod 級攻擊 . 299
附錄B 資源 315

前言歡迎閱讀本書，這是為希望安全可靠地運行工作負載的Kubernetes 從業者準備的。在撰寫本書時，Kubernetes 已經存在了大約六年。有超過一百個經認證的Kubernetes 產品（https://oreil.ly/bo2xA）可用，如分發和托管服務。隨著越來越多的組織決定將其工作負載轉移到Kubernetes，我們想分享這一領域的經驗，幫助你更安全可靠地部署和運維工作負載。感謝你加入我們的旅程，我們希望你在閱讀本書並應用你所學知識時，能像我們在寫作本書時一樣開心。在前言中，我們將描繪我們的目標讀者，聊聊我們為什麼寫這本書，並解釋我們認為你應該如何通過提供的快速內容指南來使用它。我們還將討論一些細節，如Kubernetes 版本和使用慣例。關於讀者為了更好地理解本書，我們假設你要麼是DevOps 工程師，要麼是Kubernetes平臺工程師，要麼是雲原生架構師，要麼是站點可靠性工程師（SRE），要麼是首席信息安全官（CISO）。我們進一步假設你有興趣進行實踐，我們在理論上討論威脅和防御的同時，也會盡最大努力演示它們，並向你介紹可以幫助你的工具。在這一點上，我們還想確保你明白你正在讀的書是針對高級主題的。我們假設你已經熟悉Kubernetes，特別是Kubernetes 安全主題，至少在表面上是這樣。換句話說，我們不會詳細討論Kubernetes 是如何工作的，而是在每章的基礎上總結或重述重要的概念或機制。特別是，我們假設你了解容器的用途以及它們如何在Kubernetes 中運行。如果你還不熟悉這些主題，我們建議你做一些初步閱讀。以下是我們建議參考的書籍：? Kubernetes: Up and Running (https://oreil.ly/k9ydo) by Brendan Burns, Kelsey Hightower, and Joe Beda (O ’Reilly)? Managing Kubernetes (https://oreil.ly/cli0J) by Brendan Burns and Craig Tracey (O’Reilly)? Kubernetes Security (https://oreil.ly/S8jQf) by Liz Rice and Michael Hausenblas (O’Reilly)? Container Security (https://oreil.ly/Yh8EM) by Liz Rice (O ’Reilly)? Cloud Native Security by Chris Binnie and Rory McCune (Wiley)既然我們已經清楚了這本書的目標是什麼，以及在我們看來，誰將從中受益，那麼讓我們轉向另一個話題：作者。關於作者在設計、運行、攻擊和保護基於Kubernetes 的工作負載和集群方面，我們擁有超過10 年的實踐經驗，基於這些經驗，我們希望為你（雲原生安全從業者）提供所需的內容，從而幫助你在工作中獲得成功。以史為鋻，過去的錯誤常常會給安全工作帶來啟發，我們兩個都已經學習（並且在犯錯誤！）Kubernetes 安全一段時間了。我們想確定我們對這個主題的理解是正確的，所以我們寫了一本書，通過一個共同的視角來驗證我們的猜疑。我們都在不同的公司擔任過不同的角色，參加過培訓課程，發布過各種資料，從工具到博客文章。我們還在各種公開演講活動中分享了在這個主題上學到的經驗。我們在這裡的大部分動機和我們使用的例子都源於我們在日常工作中的經歷和/ 或我們在客戶公司觀察到的事情。如何使用這本書這本書是一本基於威脅的Kubernetes 安全指南，使用普通的Kubernetes 安裝方案及其內置的默認配置作為起點。我們將從運行任意工作負載的分布式繫統的抽像威脅模型開始討論，然後詳細評估一個安全的Kubernetes 繫統的每個組件。在每一章中，我們將研究組件的架構和潛在的默認設置，並回顧備受關注的攻擊和歷史上的通用漏洞披露（CVE）。我們還演示了攻擊並分享了最佳實踐配置，以便從可能的攻擊角度演示加固集群。為了幫助你瀏覽這本書，這裡有一個章節級的快速綱要:? 第1 章“概述”，我們設置了場景，介紹了我們的主要對手以及什麼是威脅建模。? 第2 章“pod 資源詳情”，重點關注pod 的配置、攻擊以及防御。? 第3 章“容器運行時隔離”，深入沙箱和隔離技術。? 第4 章“應用程序和供應鏈”，將介紹供應鏈攻擊，以及如何檢測和緩解它們。? 第5 章“網絡”，我們將審查網絡默認設置以及如何保護你的集群和工作負載流量。? 第6 章“存儲”，我們將重點轉移到持久性，看一看文件繫統、卷和靜態敏感信息。? 第7 章“硬性多租戶”，介紹了在集群中為多租戶運行工作負載的主題，以及這可能會導致的問題。? 第8 章“策略”，我們將審查正在使用的各種策略，討論訪問控制，特別是基於角色的訪問控制（RBAC），以及通用策略解決方案，如OpenPolicy Agent (OPA)。? 第9 章“入侵檢測”，我們討論了這樣一個問題：盡管已經采取了控制措施，如果有人設法闖入，你該怎麼辦。? 第10 章“組織”，這一章有些特殊，因為它並不關注工具，而是關注在雲和本地安裝時，人這一個因素。? 在附錄A“pod 級攻擊”中，我們將帶你親身體驗第2 章中討論的pod 層面的攻擊。最後，在附錄B“資料”中，我們將每一章的進一步閱讀材料以及與本書相關的注釋簡歷集合在一起。你不必按順序閱讀章節，我們盡最大努力保持各章節獨立，並在適當的地方引用相關內容。請注意，在編寫本書時，Kubernetes 1.21 是最新的穩定版本。此處展示的大多數示例都適用於較早的版本。並且我們充分意識到，當你閱讀本文時，當前版本可能比現在高很多。但這些概念在各版本間都保持不變。這本快速定位的簡短指南就此完成，讓我們來看看書中使用的約定。排版約定本書使用了下述排版約定。斜體（Italic）表示新術語、URL、電子郵件地址、文件名和擴展名。等寬字體（Constant Width）表示程序片段，以及正文中出現的變量、函數名、數據庫、數據類型、環境變量、語句和關鍵字等。使用代碼示例補充材料可從以下網址獲得：http://hacking-kubernetes.info。如果你有技術問題或使用代碼示例的問題，請發送電子郵件至bookquestions@oreilly.com。這本書是來幫助你完成工作的。一般來說，如果本書提供了示例代碼，你可以在你的程序和文檔中使用它。除非你要復制代碼的重要部分，否則你不需要聯繫我們以獲得許可。例如，編寫的程序，僅使用本書中幾段代碼，那麼就不需要許可。出售或分發O’Reilly 書籍中的例子需要得到許可。通過引用這本書和引用示例代碼來回答問題不需要許可。將本書中的大量示例代碼並入到你的產品文檔中，那就需要許可。我們很感激， 但一般不需要署名。署名通常包括標題、作者、出版商和ISBN。例如：“Hacking Kubernetes by Andrew Martin and Michael Hausenblas (O’Reilly).Copyright 2022 Andrew Martin and Michael Hausenblas，978-1-492-08173-9”。如果你覺得你對代碼示例的使用超出了合理使用或上述許可的範圍，請隨時聯繫我們permissions@oreilly.com。O’Reilly 在線學習平臺（O’Reilly Online Learning）近40 年來，O’Reilly Media 致力於提供技術和商業培訓、知識和卓越見解，來幫助眾多公司取得成功。公司獨有的專家和改革創新者網絡通過O’Reilly 書籍、文章以及在線學習平臺，分享他們的專業知識和實踐經驗。O’Reilly 在線學習平臺按照您的需要提供實時培訓課程、深入學習渠道、交互式編程環境以及來自O’Reilly 和其他200 多家出版商的大量書籍與視頻資料。更多信息，請訪問網站：https://www.oreilly.com/。聯繫我們任何有關本書的意見或疑問，請按照以下地址聯繫出版社。美國：O’Reilly Media, Inc.1005 Gravenstein Highway NorthSebastopol, CA 95472中國：北京市西城區西直門南大街2 號成銘大廈C 座807 室（100035）奧萊利技術咨詢（北京）有限公司這本書有專屬網頁，在那裡我們列出了勘誤表、例子和任何附加信息。你可以通過以下網址訪問：https://oreil.ly/HackingKubernetes。如果你對本書有一些評論或技術上的建議，請發送電子郵件到errata@oreilly.com.cn。要了解有關O’Reilly 書籍和課程的新聞和信息，請訪問http://oreilly.com。我們的Facebook：http://facebook.com/oreilly。我們的Twitter：http://twitter.com/oreillymedia。我們的Youtube：http://www.youtube.com/oreillymedia。致謝感謝我們的審校Roland Huss、Liz Rice、Katie Gamanji、Ihor Dvoret-skyi、Mark Manning 和Michael Gasch。你們的評論對本書絕對有重要影響，感謝你們的指導和建議。Andy 要感謝他的家人和朋友對他不斷地愛和鼓勵，感謝鼓舞人心且精明干練的ControlPlane 團隊孜孜不倦的深刻見解和指導，以及不斷帶來啟發的cloud native security community，感謝他們持續的慷慨和纔華。特別感謝Rowan Baker、Kevin Ward、Lewis Denham-Parry、Nick Simpson、Jack Kelly 和James Cleverley-Prance。Michael 想表達他最深切的感謝，感謝支持他並且棒極了的家人：我們的孩子Saphira、Ranya 和Iannis，我聰明有趣的妻子Anneli-ese，以及我們最棒的狗狗Snoopy。我們不能不提Hacking Kubernetes 的啟發者和導師的Twitter 列表（https://oreil.ly/xr1is），以字母順序排列的專家，如@antitree、@bradgeesaman、@brau_ner、@christianposta、@dinodaizovi、@erchiang、@garethr、@IanColdwater、@IanMLewis、@jessfraz、@jonpulsifer、@jpetazzo、@justincormack、@kelseyhightower、@krisnova、@kubernetesonarm、@liggitt、@lizrice、@lordscyphar、@lorenc_dan、@lumjjb、@mauilion、@MayaKaczorowski、@mikedanese、@monadic、@raesene、@swagitda_、@tabbysable、@tallclair、@torresariass、@WhyHiAnnabelle 和@and also our bestest of all dogs, Snoopy.We would be remiss not to mention the Hacking Kubernetes Twitter list (https://oreil.ly/xr1is) of our inspirations and mentors, featuring alphabetized luminaries such as @antitree, @bradgeesaman, @brau_ner, @christianposta, @dinodaizovi,@erchiang, @garethr, @IanColdwater, @IanMLewis, @jessfraz, @jonpulsifer, @jpetazzo,@justincormack, @kelseyhightower, @krisnova, @kubernetesonarm, @liggitt,@lizrice, @lordcyphar, @lorenc_dan, @lumjjb, @mauilion, @MayaKaczorowski,@mikedanese, @monadic, @raesene, @swagitda_, @tabbysable, @tallclair, @torresariass,@WhyHiAnnabelle, and @captainHλ$???A?k.Last but certainly not least, both authors thank the O’Reilly team, especially Angela Rufino, for shepherding us through the process of writing this book.最後但同樣重要的是，兩位作者都感謝O’Reilly 團隊，尤其是Angela Rufino，感謝他們帶領我們完成了這本書的寫作。