云安全攻击路径

POD

容器

K8s架构及说明

Master

运维机器

感染镜像

内核漏洞

web

黑客

（API）

Made by LL

Node组件说明：1、kubelet：负责Pod的创建、启动、监控、重启、销毁等⼯作，同时与Master节点协作，实现集群管理的基本功能。2、Kube-proxy：它监听API server中service和endpoint的变化情况，并通过iptables 等来为服务配置负载均衡3、Container Runtime：负责真正管理镜像和容器的。4、Namespace：Namespace 是用来做一个集群内部的逻辑隔离的，它包括鉴权、资源管理等。5、Pod：是运⾏应⽤的载体，由1个或多个容器组成、是k8s的最⼩调度单元6、Volumne：docker中的数据卷，用来管理k8s中的存储，一个volumne可以被挂载在一个或多个pod的路径中

Kubelet

DB

Node

API Server 未授权访问

应用系统（对外）

github

Pod

docker.sock逃逸

应用暴力破解、失窃凭证

Kubeconfig 文件

Service Account

应用内组件

主机3

Kube-proxy

目录挂载

端口服务探测

易受攻击的应用程序

应用系统漏洞

StoragePlugin

Controller

NetworkPlugin

进程或网路服务（对外如SSH）

受损云凭证

未授权访问

API Server

ContainerRuntime

用户拉取受损镜像

进程或网路服务（对内如SSH）

云  上  关   键   组   件  攻   击   面

主机或虚拟机

主机1

服务暴力破解、失窃凭证

Docker漏洞

传统横向

应用系统（对内）

Scheduler

kubectl exec

CLI

特权容器

未授权面板

受损的云厂商CloudShell

失窃凭证：1、互联网泄露2、Service account或更高权限用户来获取3、应用层API泄露4、配置文件

Master说明：1、API Server：资源操作唯⼀⼊⼝，提供认证、授权、访问控制、API注册等机制2、Scheduler：资源调度，按照调度策略将Pod调度相应机器上3、Controller Manager：维护集群状态，故障检测、⾃动扩展、滚动更新4、Etcd：一个分布式存储系统，⽤于保存集群所有的⽹络配置和对象的状态信息5、API Server 四种授权方式：Node、ABAC 、RBAC 、Webhook

etcd

第三方插件漏洞

API Server RBAC利用

主机2

Linux Capabilities

UI