行业投资评级 - 报告未明确给出行业投资评级 [1][2][3][4][5][6] 核心观点 - 报告主要围绕Kubernetes的安全风险展开，详细分析了Kubernetes的攻防矩阵，包括初始访问、执行、持久化、权限提升、防御绕过、凭证窃取、探测、横向移动和影响等9类战术 [11][12] - 报告还介绍了4个Kubernetes相关的安全开源项目，包括Kubebench、OPA、CDK和Trivy，为防御阶段使用工具提供了参考 [12] Kubernetes简介 - Kubernetes集群由一个控制平面和一组节点组成，控制平面管理集群中的节点和Pod，节点负责运行容器化应用 [21][22] - 控制平面组件包括kube-apiserver、etcd、kube-scheduler、kube-controller-manager和cloud-controller-manager，节点组件包括Kubelet、kube-proxy和Container runtime [23][24][25][26][31][35][36][37] Kubernetes安全风险 - Kubernetes ATT&CK矩阵详细描述了9类战术，包括初始访问、执行、持久化、权限提升、防御绕过、凭证窃取、探测、横向移动和影响 [39] - 初始访问风险包括凭证泄漏、Kubeconfig文件泄露、使用恶意镜像、存在漏洞的应用程序和暴露的敏感接口 [42][45][48][49][50] - 执行风险包括在容器内执行命令、创建恶意容器、带有SSH服务的容器、应用程序漏洞利用和Sidecar注入 [54][55][57][58][60] - 持久化风险包括创建后门容器、在已有权限的容器中植入后门、Kubernetes定时任务、在自定义镜像中植入后门和修改安全配置 [65][67][71][76][78] - 权限提升风险包括利用特权容器提权、为普通用户添加高权限、为EKS添加高权限角色、使用容器里挂载的敏感目录逃逸到宿主机和利用内核漏洞逃逸 [81][85][89][91][92] - 防御绕过风险包括容器日志清理、Kubernetes event日志清理、部署Shadow API Server、通过匿名网络访问和修改请求来源的UA头 [95][96][97][98][99] - 凭证窃取风险包括获取Kubernetes secret、获取Kubeconfig、访问容器SA、利用Kubernetes准入控制器窃取信息和不安全的凭据 [106][107][113][115][117] - 探测风险包括访问Kubernetes API Server、访问Kublet API、访问Kubernetes Dashboard、访问云厂商服务接口和访问私有镜像库 [124][131][133][136][137] - 横向移动风险包括Kubernetes内网横向访问、通过Service Account访问Kubernetes API、通过第三方Kubernetes组件横向移动、窃取凭证攻击云服务资源和窃取凭证攻击其他应用 [145][147][149][150][153] - 影响风险包括数据销毁、资源劫持和端点拒绝服务 [157][159][161] Kubernetes安全开源项目 - 报告介绍了4个Kubernetes相关的安全开源项目，包括Kubebench、OPA、CDK和Trivy，为防御阶段使用工具提供了参考 [12]