去年，Palo Alto Networks（派拓網絡）的威脅研究與咨詢團隊Unit 42 曾在 Google Kubernetes Engine (GKE) 中發現多個漏洞和攻擊技術。這些威脅不僅影響了 Google Cloud 用于管理 Kubernetes 集群的一款產品GKE Autopilot，同時甚至影響到了GKE 標準。

Unit 42 發現 GKE Autopilot 漏洞能夠讓攻擊者升級權限，并接管整個集群。攻擊者可以隱秘地竊取信息，部署惡意軟件，實施加密挖礦攻擊，以及破壞工作負載。谷歌隨后解決了這些問題，并在 GKE 中部署了大量補丁保護集群。到目前為止，Unit 42 未發現這些漏洞被廣泛利用。

針對Kubernetes的攻擊愈演愈烈

Kubernetes是Google開源的容器編排引擎，支持自動化部署、大規模擴展和應用容器化管理。根據云原生計算基金會（CNCF）的最新年度調查顯示，絕大多數企業（83%）在生產環境中運行了 Kubernetes。值得注意的是，上云為企業帶來諸多益處的同時，也吸引了大量攻擊者。Unit 42 監測到許多專門用于攻擊 Kubernetes 的惡意軟件。要想確保云上工作的安全性，就需要企業、云安全提供商和整個網絡安全行業共同協作，解決漏洞和錯誤配置等問題。

隨著 Kubernetes技術的不斷進步，目前簡單的錯誤配置和漏洞已經越來越少見，而攻擊者也在不斷升級攻擊行為。研究表明，即使是 Kubernetes 中最細微的問題，也可能成為攻擊的切入點。只有全面的云原生安全平臺，才能讓防御者有能力保護集群免受類似威脅。

如何防范針對Kubernetes的惡意攻擊

Kubernetes 管理員可以通過制定規則和采取審核措施，監控、檢測和預防集群中的可疑活動和權限升級。另外，應用 NodeAffinity、Taints 和 PodAntiAffinity 規則可以將高可靠性的 pod 與不可靠的 pod 分開。

為了保護整個云環境，最好的解決方案是采用全面的云原生安全平臺。作為業界唯一的全面云原生安全平臺，Prisma Cloud 利用云服務提供商 API 提供對公有云環境的可視性和控制，同時利用單個統一的代理框架將安全性擴展到主機、容器和無服務器功能。其憑借對混合和多云環境的支持，實現了全面的云原生安全。Prisma Cloud能快速全面地解決云端安全的一系列挑戰，提供實時的深度云資源報告、保持云端的合規性、保護云原生資源及賦能敏捷開發。Prisma Cloud 用戶可以啟用 Kubernetes 準入支持，解決 Kubernetes 權限升級問題。該功能可以有效防止針對 Kubernetes 的攻擊。迄今為止，Prisma Cloud獲得了77%的財富100強企業信賴，客戶超過1,700家。