Kubernetes重大漏洞？阿里雲已第一時間全面修復

近日，Kubernetes社群發現安全漏洞 CVE-2018-1002105，阿里雲容器服務已在第一時間完成全面修復，敬請廣大使用者登入阿里雲控制檯升級Kubernetes版本。

目前Kubernetes開發團隊已經發布V1.10.11、V1.11.5修復補丁，阿里雲容器服務也已在第一時間完成漏洞全面修復，使用者登入阿里雲控制檯即可一鍵升級。

更多資訊可以移步公告《 》

漏洞發現後的措施

具體而言有一下幾種情況供大家參考：

1 使用者選用阿里雲容器服務K8s

影響範圍有限，阿里雲容器服務ACK一直在推進和保障最小許可權原則，預設開啟了RBAC，透過主賬號授權管理預設禁止了匿名使用者訪問。同時Kubelet 啟動引數為”anonymous-auth=false”，提供了安全訪問控制，防止外部入侵。對於使用子賬號的多租戶ACK叢集使用者，子賬號訪問Kubernetes，其賬號可能透過Pod exec/attach/portforward越權。如果叢集只有管理員使用者，則無需過度擔心。子賬號在不經過主賬號自定義授權的情況下預設不具有聚合API資源的訪問許可權。這些子賬號使用者請選擇合適業務時間升級，進入控制檯點選一鍵更新安全版本Kubernetes。

2 如果是完全自行搭建K8s

如果是在ECS上自建k8s的使用者，請務必檢查各項配置，如有失誤，會引發較大安全風險。若使用者在阿里雲ECS伺服器上自建Kubernetes叢集，建議第一時間登入Kubernetes官網下載最新版，做好備份給節點打快照，並檢查好配置、確保許可權最小化，選擇合適業務時間升級。

3 如果是在無伺服器版本

無伺服器版本Kubernetes在此之前已額外加固，使用者不受此漏洞影響

更多關於阿里雲容器服務

本次漏洞有限，阿里雲容器服務Kubernetes採用了企業級的安全防護設計，為雲上開發者省去了很多煩惱：

• API Server配置預設禁止匿名訪問

• 容器叢集採用VPC方案，網路環境全隔離

• 使用者可以選擇在公網隱藏API Server

• 預設子帳號沒有訪問叢集資源的許可權

此外，無伺服器版本Kubernetes已提前加固，使用者不受此漏洞影響。

去年11月，阿里雲率先推出了Kubernetes管理服務，整合阿里雲在虛擬化、儲存、網路和安全能力的優勢，提供多種應用釋出方式和持續交付能力並支援微服務架構。使用者可輕鬆建立、配置和管理虛擬機器群集，在阿里雲上部署和管理基於容器的應用程式。

為降低開發應用門檻，阿里雲對Kubernetes能力進行了多重補充。比如，透過選擇不同節點，實現異構計算叢集支援深度學習等場景，或者雲上一鍵部署叢集，整合解決方案。

阿里雲容器服務採用了高效能的神龍技術架構，資源利用率提升了3倍以上，同時融合乙太網RDMA技術25Gb網路，相比自建效能可提高數倍。同時，阿里雲還是業內首家提供ServiceMesh服務網格最佳實踐及異地多活方案的雲廠商。

安全是容器服務的重中之重。阿里雲容器服務充分考慮了企業級的安全訴求，所有元件均提供雙向證書驗證，預製開啟RBAC等鑑權能力，使用者可以透過阿里雲控制檯可以安全地管理叢集資源。

作為國內最大規模的公共雲容器平臺，阿里雲已為西門子、新浪微博、國泰君安、小鵬汽車、安諾優達等數千多家企業提供容器服務，在全球十六個地域部署，支援公共雲、專有云、金融雲、政務雲。