鑽石舞台

Kubernetes 是一個開源容器編排系統，用於自動化軟件部署、擴展和管理。Shadowserver 基金會開始掃描可訪問的 Kubernetes API 實例，這些實例以 200 OK HTTP 響應對探測器進行響應。

「在我們能夠識別的超過45萬個API中，我們每天發現超過38萬個允許某種形式的訪問的 Kubernetes API。這些數據每天都會在我們的可訪問Kubernetes API 服務器報告中共享。」，

掃描結果並不意味着這些服務器完全開放或容易受到攻擊，它表明服務器具有「不必要地暴露攻擊面」的情況。

它們掃描端口6443和443上的所有IPv4空間，並且僅包括響應200 OK（附帶 JSON 響應）的Kubernetes服務器，因此在其響應中披露版本信息。2022-05-16的掃描結果發現 381,645 個唯一IP響應了探測的 200 OK HTTP 響應。

「這是我們看到的 454,729 個 Kubernetes API 實例中的一個。因此，「開放」API 實例構成了我們可以在 IPv4 互聯網上掃描的所有實例的近 84%。」

數據安全公司 Comforte AG 的網絡安全專家 Erfan Shadabi 表示，Shadowserver基金會掃描發現如此多的 Kubernetes 服務器暴露在公共互聯網上，他並不感到驚訝。「White Kubernetes] 為企業提供了敏捷應用交付的巨大好處，有一些特點使其成為理想的攻擊目標。例如，由於擁有許多容器，Kubernetes 有一個很大的攻擊面，如果不預先保護，可能會被利用，」他說。

保護 Kubernetes

Shadowserver基金會建議，如果管理員發現他們環境中的 Kubernetes 實例可以訪問互聯網，他們應該考慮實施「訪問授權」，或者在防火牆級別進行阻止以減少暴露的攻擊面。

Erfan Shadabi建議在其生產環境中使用容器和 Kubernetes 的組織應像對待 IT 基礎設施的各個方面一樣認真對待 Kubernetes。