O Kubernetes é um programa de orquestração de contêineres, porém, a segurança vem sendo um item desafiador para esta tecnologia.
Todo mundo está utilizando. No entanto, com as principais atualizações trimestrais e todo mundo correndo para implantá-lo, a segurança é uma preocupação real. Portanto, o Comitê de Segurança do Produto Kubernetes , financiado pela CNCF (Cloud Native Computing Foundation) está lançando um novo programa de recompensa de bugs para recompensar os caçadores de bugs de segurança do Kubernetes.
O programa de recompensas de bugs está em uma versão beta privada há vários meses. Quase dois anos desde a proposta inicial, o programa está pronto para todos os pesquisadores de segurança.
Maya Kaczorowski, gerente de produtos de segurança de contêiner do Google Cloud, disse:
O Kubernetes já possui uma equipe de segurança robusta e um processo de resposta, consolidado ainda mais pela recente auditoria de segurança do Kubernetes . Temos um projeto de código aberto mais forte e mais seguro do que nunca. Ao lançar um programa de recompensas por insetos, estamos colocando nosso dinheiro onde nossa boca está – e o mais importante, recompensando os pesquisadores que já estão fazendo esse importante trabalho. Esperamos atrair pesquisadores de segurança adicionais para ter mais olhos no código, eliminar bugs de segurança e fazer backup de nosso trabalho na segurança do Kubernetes com suporte financeiro.
Esse programa de recompensa de bugs será operado pela HackerOne , uma empresa de segurança auto-proclamada por hackers. Para executar o programa com sucesso, a equipe do HackerOne é todos administradores de Kubernetes certificados (CKA) . Este não é um trabalho fácil. Existem mais de 100 distribuições certificadas do Kubernetes , e a recompensa de bug cobre todo o código do Kubernetes.
Kubernetes e a segurança
Especificamente, a recompensa do bug cobre o código principal do Kubernetes mantido no GitHub. Ele também observa artefatos contínuos de integração, liberação e documentação. Em particular, eles estão procurando falhas de segurança que possam levar a ataques de cluster. Isso inclui escalações de privilégios, erros de autenticação e execução remota de código no kubelet ou no servidor da API.
Eles também estão procurando vazamentos de informações sobre a atividade ou alterações inesperadas nas permissões. Os pesquisadores de segurança também são incentivados a examinar a cadeia de suprimentos da Kubernetes, incluindo os processos de criação e lançamento.
O que ele não cobre são as ferramentas de gerenciamento da comunidade, como as listas de discussão do Kubernetes ou o canal Slack. Escapes de contêiner, ataques ao kernel do Linux ou outras dependências, como etcd, também estão fora do escopo e devem ser relatados às suas equipes de segurança. Dito isso, eles ainda querem ouvir sobre qualquer vulnerabilidade do Kubernetes, mesmo que não estejam no escopo da recompensa do bug. Eles devem ser divulgados em particular ao Comitê de Segurança do Produto Kubernetes.
Os prêmios pelas brechas de segurança encontradas nos programas principais do Kubernetes variam de US $ 200 para problemas de baixa prioridade a US$ 10.000 para problemas críticos descobertos. Para obter detalhes completos sobre o funcionamento do programa de recompensas, consulte a página de recompensas do HackerOne, Kubernetes.
Seguem abaixo mais alguns artigos sobre a tecnologia apresentada aqui.
Como configurar o Kubernetes com o Kubeadm no CentOS
Kubernetes, uma solução Google/Redhat.
