Kubernetes 物料清单（KBOMs）助力安全团队应对 CVE 攻防战

KSOC 实验室近期宣布了首批 Kubernetes 物料清单（KBOMs）。KBOM 是一款开源标准和命令行工具，可帮助安全团队快速分析集群配置并应对 CVE。

该项目包含一份初始规范和实施方案，可跨云供应商、企业内部（on-premise)及自定义环境使用。

JSON 格式的规范中提供了关于集群不同组件，以及内部和托管应用程序的实例、Kubernetes 对象、容器镜像的详细信息。

这些信息有助于安全和规范团队将 Kubernetes 集群视为单一个体，快速识别漏洞和维系，不再需要单独查看其中的基础组件。

KBOM 给出了针对 Kubernetes 集群的简单概述，如：

• 以工作负载数计算的集群规模

• 云提供商上的节点成本和类型

• Kubernetes 相关组件和托管应用程序镜像的漏洞

• 来自三方的客户化和插件，如定制资源、认证和服务网格

• 平台及其组件的版本细节

今年上半年，KSOC 实验室于2023年欧洲 KubeCon+CloudNativeCon 大会中就容器安全、云态势管理和运行时安全解决方案，以及是否需要专门为 Kubernetes 配置安全解决方案的问题，对与会者进行了调研，97% 的参与者回答为肯定。

KSOC 团队认为，即使是目前已有的类似标准和工具有助于对应用及其底层基础设施组件的理解，如软件物料清单（SBOMs）和基础设施物料清单（IBOMs），但这些并不一定能让安全团队对集群进行快速分析，并对 CVE 做出快速响应。

通过 KBOM 的发布，KSOC 团队希望能让 Kubernetes 进入安全并合乎规范的区域。

安全和规范团队可通过使用 KBOM 对其 Kubernetes 集群（尤其是三方插件），获得更高的可见性。举例来说，KBOM 可对最近 Kubernetes CVE 漏洞，允许权限升级，进行分析，该漏洞技术复杂，恶意者可从应用容器进入底层主机，从而接管全部集群。

这些项目中也包含 CNCF 全景图（landscape）中的项目，如影响 crossplane 的 CVE-2023-27483，crossplane 为一款借助 Kubernetes API 配置和管理云基础设施的多云控制面板；影响 Clusternet 的 CVE-2023-30622，Clusternet 为一款管理公共、私有、混合以及边缘环境中多个 Kubernetes 集群的解决方案。

此外，还包含涉及 Jenkins 插件的 CVE-2023-30513 ，该 Jenkins 插件可管理从 Jenkins 到集群中的所有 CI/CD 管道的通信。

该规范为 Kubernetes 社区打下了基础，人们可在该基础上增添更多信息以支持未来的不同用例。

KBOM 在所有主流云供应商上均进行了测试，其中包括 AWS、Azure 和谷歌云，可适用于所有 Kubernetes v1 往后的版本。

原文链接：

KSOC Labs Release the First Kubernetes Bill of Materials (KBOMs)

相关阅读：

三步实现Lambda向Kubernetes大迁移

从修复 Kubernetes 集群中，我学到了什么