《CSA GCR云安全联盟：2025年Kubernetes安全指南报告（81页）.pdf》由会员分享，可在线阅读，更多相关《CSA GCR云安全联盟：2025年Kubernetes安全指南报告（81页）.pdf（81页珍藏版）》请在三个皮匠报告上搜索。

1、12025 云安全联盟大中华区版权所有22025 云安全联盟大中华区版权所有 2024 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。32025 云安全联盟大中华区版权所有42025 云安全联盟大中华区版权所有致谢致谢Kubernetes 安全指南 由 CSA 大

2、中华区云原生安全工作组内 K8S 安全研究项目组专家撰写，感谢以下专家的贡献：编写组：编写组：王亮党超辉TeamsSix审校组：审校组：刘文懋谢奕智杨天识卜宋博何诣莘徐岩张元恺夏威52025 云安全联盟大中华区版权所有序言序言Kubernetes 安全指南基于 Kubernetes 技术架构及基本组件，运用 ATT&CK 模型，深入探讨了 Kubernetes 攻防矩阵。从攻防双方视角分析针对各种弱点的攻击手法以及防御手段。指南关注 Kubernetes 平台的攻防研究。从攻击者的角度追踪现实世界中的使用和出现过的用法，详细描述初始访问-执行-持久化-权限提升-防御绕过-凭据窃取-探测-横向移

3、动-影响等 9 类不同战术，并将 9 类战术中常用的 65 种技术进行了深入探讨。文章图文并茂展示了真实的攻击场景，为研究 Kubernetes 的安全人员提供给了可借鉴的实例。指南中从防御方的视角描述了漏洞、配置错误两大类风险。通过每种风险的剖析，解释了采用何种手段可有效降低风险提高攻击方的攻击成本。指南中介绍了 4 个 Kubernetes 相关的安全开源项目。分别是 Kubebench、OPA、CDK、Trivy。通过对以上安全开源项目介绍，为读者在防御阶段使用工具提供了参考。应用场景和优秀开源项目的介绍，有助于推动 Kubernetes 安全技术的进一步发展和实践。希望通过指南深入浅出

4、地为读者介绍 Kubernetes 相关的安全知识。广大的 Kubernetes 运维人员可以使用本报告作为其日常工作的工具参考。李雨航 Yale LiCSA 大中华区主席兼研究院院长62025 云安全联盟大中华区版权所有目 录目 录1.Kubernetes 简介.81.1 Kubernetes 架构.81.2 Kubernetes 组件.91.2.1 控制平面组件.91.2.2 节点组件.112.Kubernetes 安全风险.122.1 Kubernetes ATT&CK 矩阵.122.2 Kubernetes ATT&CK 矩阵详述.142.2.1 初始访问.142.2.2 执行.172

5、.2.3 持久化.232.2.4 权限提升.282.2.5 防御绕过.352.2.6 凭证窃取.382.2.7 探测.432.2.8 横向移动.522.2.9 影响.553.Kubernetes 风险检测防护.583.1 配置错误.583.2 漏洞风险.614.Kubernetes 安全开源项目.654.1 Kube-bench.654.1.1 kube-bench 概述.654.1.2 kube-bench 工作原理.664.1.3 kube-bench 使用.684.2 OPA.694.2.1 OPA 概述.694.2.2 OPA 工作原理.704.2.3 OPA 使用.704.3 CDK

6、.734.3.1 CDK 概述.734.3.2 CDK 工作原理.734.3.3 CDK 使用.734.4 Trivy.7572025 云安全联盟大中华区版权所有4.4.1 Trivy 概述.754.4.2 Trivy 工作原理.754.4.3 Trivy 使用.765.参考文献.7982025 云安全联盟大中华区版权所有1.Kubernetes 简介1.Kubernetes 简介章节 1 以下内容节选自 Kubernetes 官网。便于读者了解 Kubernetes 基本组件，容易理解后续章节攻防实践与 Kubernetes 组件的关系。1.1 Kubernetes 架构1.1 Kubern