Azure安全中心的威胁保护使您能够检测和防止各种服务的威胁，从基础设施即服务（IaaS）层到Azure中的平台即服务（PaaS）资源，如物联网、应用服务和本地虚拟机。在Ignite 2019大会上，我们宣布了新的威胁保护功能，以应对云平台上复杂的威胁，包括在安全中心对Azure Kubernetes Service（AKS）支持的威胁保护预览，以及针对Azure容器注册表（ACR）映像的漏洞评估预览。Azure安全中心和Kubernetes群集在这个博客中，我们将描述最近一次针对Kubernetes集群的大规模加密货币挖掘攻击，这是最近由Azure安全中心发现的。这是Azure安全中心可以帮助您保护Kubernetes集群免受威胁的众多示例之一。集装箱环境中的加密挖掘攻击并不是什么新鲜事。在azuresecurity Center中，我们定期检测在容器中运行的各种挖掘活动。通常，这些活动在易受攻击的容器（如web应用程序）中运行，这些容器具有已知的漏洞被利用。最近，Azure安全中心检测到一个新的加密挖掘活动，专门针对Kubernetes环境。这种攻击与其他加密挖掘攻击的不同之处在于其规模：仅两小时内，就有一个恶意容器部署在数十个Kubernetes集群上。容器运行一个来自公共存储库的映像：kannix/monerominer。遥测显示容器是由名为kube control的Kubernetes部署部署的。如下面的部署配置所示，在本例中，部署可确保每个集群上运行10个pod副本：此外，部署加密挖掘容器的同一个参与者还列举了集群资源，包括Kubernetes机密。这可能导致暴露连接字符串、密码和其他可能导致横向移动的秘密。有趣的是，这个活动中的身份是系统：服务帐户：库贝-系统：kubernetes仪表盘是仪表板的服务帐户。这个事实表明恶意容器是由Kubernetes仪表板部署的。资源枚举也由仪表板的服务帐户启动。攻击者如何利用Kubernetes仪表板有三个选项：Exposed dashboard：集群所有者将仪表板暴露在互联网上，攻击者通过扫描找到它。攻击者获得了对集群中单个容器的访问权，并使用集群的内部网络访问仪表板（这可能是Kubernetes的默认行为）。使用云或群集凭据合法浏览仪表板。问题是上述三个选项中的哪一个参与了这次攻击？为了回答这个问题，我们可以使用azuresecuritycenter给出的一个提示，即Kubernetes仪表板暴露的安全警报。当Kubernetes仪表板暴露在Internet上时，Azure安全中心会发出警报。这个安全警报是在一些受攻击的集群上触发的，这意味着这里的访问向量是一个暴露在互联网上的仪表板。这种攻击在Kubernetes攻击矩阵上的表示如下： 避免加密货币挖掘攻击如何避免这种情况？不要将Kubernetes仪表板暴露在Internet上：将仪表板暴露在Internet上意味着公开一个管理界面。在集群中应用RBAC：启用RBAC时，仪表板的服务帐户默认具有非常有限的权限，这将不允许任何功能，包括部署新容器。仅向服务帐户授予必要的权限：如果使用仪表板，请确保仅对仪表板的服务帐户应用必要的权限。例如，如果仪表板仅用于监视，则只向服务帐户授予"get"权限。只允许受信任的映像：从受信任的注册表强制部署受信任的容器。了解更多Kubernetes正在迅速成为在云中部署和管理软件的新标准。很少有人对Kubernetes有丰富的经验，很多人只关注一般工程和管理，而忽视了安全方面。Kubernetes环境需要仔细配置以确保安全，确保没有针对容器的攻击面门未打开，不会暴露给攻击者。Azure安全中心提供：发现和可见性：在安全中心的注册订阅中连续发现托管AKS实例。安全评分建议：作为客户安全评分的一部分，帮助客户遵守AKS中的安全最佳实践，例如"应使用基于角色的访问控制来限制对Kubernetes服务群集的访问。"威胁检测：基于主机和群集的分析，例如"检测到特权容器"要了解有关Azure安全中心中AKS支持的更多信息，请访问此处的文档。