云安全攻击路径
2022-07-13 17:35:53 6 举报
云安全攻击路径
作者其他创作
大纲/内容
POD
容器
K8s架构及说明
Master
运维机器
感染镜像
内核漏洞
web
黑客
(API)
Made by LL
Node组件说明:1、kubelet:负责Pod的创建、启动、监控、重启、销毁等⼯作,同时与Master节点协作,实现集群管理的基本功能。2、Kube-proxy:它监听API server中service和endpoint的变化情况,并通过iptables 等来为服务配置负载均衡3、Container Runtime:负责真正管理镜像和容器的。4、Namespace:Namespace 是用来做一个集群内部的逻辑隔离的,它包括鉴权、资源管理等。5、Pod:是运⾏应⽤的载体,由1个或多个容器组成、是k8s的最⼩调度单元6、Volumne:docker中的数据卷,用来管理k8s中的存储,一个volumne可以被挂载在一个或多个pod的路径中
Kubelet
DB
Node
API Server 未授权访问
应用系统(对外)
github
Pod
docker.sock逃逸
应用暴力破解、失窃凭证
Kubeconfig 文件
Service Account
应用内组件
主机3
Kube-proxy
目录挂载
端口服务探测
易受攻击的应用程序
应用系统漏洞
StoragePlugin
Controller
NetworkPlugin
进程或网路服务(对外如SSH)
受损云凭证
未授权访问
API Server
ContainerRuntime
用户拉取受损镜像
进程或网路服务(对内如SSH)
云 上 关 键 组 件 攻 击 面
主机或虚拟机
主机1
服务暴力破解、失窃凭证
Docker漏洞
传统横向
应用系统(对内)
Scheduler
kubectl exec
CLI
特权容器
未授权面板
受损的云厂商CloudShell
失窃凭证:1、互联网泄露2、Service account或更高权限用户来获取3、应用层API泄露4、配置文件
Master说明:1、API Server:资源操作唯⼀⼊⼝,提供认证、授权、访问控制、API注册等机制2、Scheduler:资源调度,按照调度策略将Pod调度相应机器上3、Controller Manager:维护集群状态,故障检测、⾃动扩展、滚动更新4、Etcd:一个分布式存储系统,⽤于保存集群所有的⽹络配置和对象的状态信息5、API Server 四种授权方式:Node、ABAC 、RBAC 、Webhook
etcd
第三方插件漏洞
API Server RBAC利用
主机2
Linux Capabilities
UI
0 条评论
回复 删除
下一页