Kubernetes安全攻防：從蜜罐到安全營運中心

在 Kubernetes 安全架構中，入侵偵測系統是最後一道防線。無論我們設計了多麼嚴密的預防機制，總需要有方法來識別那些已經突破初始防禦的攻擊者。本文將探討如何在 Kubernetes 環境中建立有效的入侵偵測機制，並延伸討論組織層面的安全策略。

蜜罐技術：設下誘餌捕捉攻擊者

蜜罐是一種主動防禦技術，透過佈署看似有價值但實際上是陷阱的系統，來誘捕和識別攻擊者。在 Kubernetes 環境中，蜜罐尤其有效，因為它們可以幫助我們發現已經滲透到叢集內部的惡意活動。

一個簡單的 Kubernetes 蜜罐可以使用如 ElastAlert 等工具來監控、稽核和記錄那些理論上永遠不應該被存取的 Pod。當攻擊者嘗試探索或存取這些蜜罐 Pod 時，系統會立即觸發警示。

蜜罐佈署策略

在 Kubernetes 環境中佈署蜜罐時，我們面臨一個獨特的挑戰：Kubernetes 工作負載必須保持一致性，因此無法執行「客製化」的 Pod 來佈署單一蜜罐。解決方案是：

1. 佈署專用的 DaemonSet，確保每個節點上都有一個蜜罐 Pod
2. 使用具有吸引力的命名策略，如「myapp-data」或「myapp-support」，誘使攻擊者上鉤
3. 透過 DaemonSet 確保無論攻擊者瞄準哪個節點，都有蜜罐在等待

這種策略特別適用於偵測那些在 Pod 網路內部掃描本地 IP 範圍、尋找開放 TCP 和 UDP 埠的攻擊者。

DaemonSet 是 Kubernetes 中的一種工作負載資源，它能確保叢集中的每個節點都執行指定的 Pod 副本。這對於蜜罐佈署非常理想，因為它保證了無論攻擊者進入哪個節點，都會遇到我們的陷阱。而命名策略則利用了攻擊者可能會透過 DNS、環境變數或 Kubernetes API 來搜尋特定名稱的服務這一行為特點。

金絲雀令牌：微型絆線

金絲雀令牌（Canary tokens）是一種特殊型別的蜜罐，專為各種協定設計，如 AWS 和 Slack 金鑰、URL、DNS 記錄、QR 碼、電子郵件地址、檔案和二進位檔案。它們就像是可以放置在生產系統和開發人員裝置中的「微型絆線」，一旦被觸發，就能檢測到系統被入侵。

稽核日誌監控：捕捉異常行為

如前所述，Kubernetes 會為接收到的每個 API 請求生成稽核日誌。入侵偵測系統（IDS）工具可以擷取並監控這些資訊流，尋找不尋常的請求，例如：

• 來自未知 IP 範圍的請求
• 非預期工作時間的操作
• 使用蜜罐憑證的嘗試
• 嘗試使用未授權 API 的行為（如預設服務帳號令牌嘗試取得其名稱空間或特權名稱空間中的所有 Secret）

稽核日誌的級別和深度是可設定的，但歷史上預設設定並不夠嚴格。例如，Kubernetes v1.19.2 的 CVE-2020-8563（以及 CVE-2020-8564、CVE-2020-8565、CVE-2020-8566）顯示，一些敏感的請求負載資訊被持久化到日誌中，可能被叢集外部讀取並用於攻擊。

為瞭解決這個問題，KEP 1753 提出了引入日誌過濾器，可以應用於所有 Kubernetes 系統元件日誌，防止各種敏感資訊洩漏。這可以透過在 v1.20+ 中使用 kubelet 標誌 --experimental-logging-sanitization 來實作。

敏感資訊洩漏問題

在所有技術組織中，將 Secret 洩漏到日誌和稽核流中是常見問題，這也是避免使用環境變數儲存敏感資訊的另一個原因。開發人員需要執行程式的內省和有用輸出，但在開發過程中對除錯資訊進行淨化是一種罕見的做法。這些除錯字串不可避免地進入生產環境，因此在日誌中搜尋 Secret 可能是檢測這種情況的唯一實際方法。

推動日誌淨化關注的漏洞包括：

• CVE-2020-8563：vSphere Provider kube-controller-manager 日誌中的 Secret 洩漏
• CVE-2020-8564：當檔案格式錯誤與 logLevel >= 4 時，Docker 設定 Secret 洩漏
• CVE-2020-8565：CVE-2019-11250 的不完整修復允許在 logLevel >= 9 時在日誌中洩漏令牌
• CVE-2020-8566：當 logLevel >= 4 時，Ceph RBD adminSecrets 在日誌中暴露

繞過偵測的技術

在 RSA 2020 大會上，Brad Geesaman 和 Ian Coldwater 展示了繞過 Kubernetes 稽核日誌的技術。Kubernetes 控制平面中的 etcd 資料儲存非常高效與彈性，但它不支援大型資料大小。這意味著稽核日誌中超過 256 KB 的請求負載不會被儲存，使攻擊者能夠透過超大日誌條目實作隱形行為。

值得注意的是，擁有 API 伺服器存取許可權的攻擊者可以阻斷、重定向或篡改任何本地儲存的稽核日誌。作為事後分析，探索攻擊者的路徑很有用，因此將 API 伺服器的稽核日誌直接傳送到遠端 webhook 後端可以防止這種情況。可以設定 API 伺服器使用 --audit-webhook-config-file 標誌將日誌遠端傳送，或使用為你設定此功能的託管服務。

這裡揭露了一個重要的技術限制：etcd 的 256KB 大小限制可以被攻擊者利用來隱藏其活動。透過建立超大請求，攻擊者能使其行為不被記錄在稽核日誌中。這就是為什麼我們需要將稽核日誌傳送到外部系統的原因 - 不僅是為了更好的儲存能力，更是為了防止攻擊者篡改日誌記錄。

安全營運中心（SOC）

較大的組織可能擁有安全營運中心（SOC），負責管理安全資訊和事件（SIEM）。為稽核和 Pod 日誌設定企業應用程式的警示需要精細調整，以避免誤報和不必要的警示。

建立有效的 SOC 流程包括：

1. 使用本地叢集建立自動化測試並捕捉稽核日誌事件
2. 使用該資料設定 SIEM
3. 重新執行自動化測試，確保在生產系統中正確觸發警示

此外，應該對生產系統進行紅隊（Red Team）安全測試，以驗證藍隊（Blue Team）控制是否如預期工作。這為系統設定的攻擊樹和威脅模型提供了真實世界的測試。

紅隊和藍隊是資安領域中常用的概念：紅隊模擬攻擊者，嘗試入侵系統；藍隊則負責防禦。透過這種對抗性測試，組織可以發現實際運作環境中的安全漏洞。這種方法比單純的合規檢查更有效，因為它測試的是真實攻擊場景下的防禦能力。

入侵偵測小結

入侵偵測是雲原生系統的最後一道防線。現代核心上的 eBPF 方法提供了更高的速度，效能開銷很小。敏感或導向網路的工作負載應該始終由 IDS 守護，因為它們具有最大的入侵風險。

組織安全：最薄弱的環節

Kubernetes 叢集不會在真空中執行，而是在一個環境中執行，可能是內部佈署（如自己的資料中心），或者使用雲端供應商的服務。

與前面章節不同，這裡我們詳細研究「濕件」（wetware）— 一個半開玩笑的術語，指人類而非軟體或硬體。我們要強調的是，儘管有各種可用的技術，安全執行 Kubernetes 叢集和工作負載需要你關注拼圖中的非技術部分：人類及其自然（工作）棲息地，也就是組織。

事實證明，人類往往是鏈條中最薄弱的環節。例如，攻擊者可能針對電子郵件、PKI 和管理介面，以突破防線並從內部竊取機密、竊取資料或將敏感資訊洩露給公眾。

一般來說，叢集外部的東西如果被入侵，可以繞過叢集的安全性 — 例如，雲端供應商的帳戶、管理員憑證、加密金鑰，或者軟體供應鏈中的任何環節。

雲端供應商使用的分享責任模型將某些安全流程放在使用者肩上，而雲端則提供本身安全的服務。這意味著你需要考慮基礎設施拓撲、資料流和安全設定的建設以及其使用方式。

組織金字塔：依賴鏈

在組織金字塔中，我們可以看到一個服務或應用程式提供給客戶的依賴關係的概念表示。基本理念是，組織中存在許多相互依賴的層，只有當基礎穩定與發展良好時，我們才能相信更高層可以正常工作：

個人層面

平台和營運人員、開發人員、管理人員、實習生、CEO 的親戚 — 所有這些人代表了「基礎」，其他一切都建立在此之上。這裡不應該忘記你的供應商，例如在你選擇的雲端供應商工作的人員，從帳戶經理到支援工程師。

組織金字塔概念強調了安全不僅是技術問題，更是人的問題。最底層的「個人層面」是整個安全架構的基礎，如果這一層出現問題（如社交工程攻擊成功），即使有最先進的技術防禦，系統安全也會被破壞。這說明瞭為什麼安全意識培訓和人員管理對於整體安全策略如此重要。

人為因素：安全的最大挑戰

技術攻擊角度耗盡後，攻擊者往往會轉向直接攻擊組織以取得其機密。這種方法可能比純技術攻擊更容易成功，因為：

1. 人類容易受到社交工程和心理操縱
2. 組織流程中的漏洞可能被利用
3. 內部人員可能有意或無意地成為威脅

這就是為什麼完整的安全策略必須同時考慮技術和人的因素。最安全的系統也可能因為一個點選網路網路網路網路釣魚郵件的管理員而被入侵。

分享責任模型的挑戰

在雲環境中執行 Kubernetes 時，分享責任模型帶來了特殊的挑戰。雲提供商負責基礎設施的安全性，而使用者則負責：

• 身份和存取管理
• 資料保護和加密
• 網路安全設定
• 應用程式層安全
• 合規性

理解和正確實施這種責任分工對於維護雲原生應用的安全性至關重要。許多安全漏洞源於責任界限的誤解或執行不力。

建立組織安全文化

要解決「最薄弱環節」問題，組織需要：

1. 實施全面的安全意識培訓計劃
2. 建立明確的安全政策和程式
3. 定期進行安全評估和演練
4. 培養從上到下的安全文化
5. 實施最小許可權原則

只有當安全成為組織 DNA 的一部分時，Kubernetes 和雲原生應用才能真正安全。

全面安全策略：技術與人的結合

Kubernetes 環境中的全面安全策略需要結合技術防禦和組織措施。這包括：

技術層面

• 強化 Kubernetes 控制平面和節點安全
• 實施網路策略和微分段
• 佈署入侵偵測系統和蜜罐
• 監控和稽核所有系統活動
• 實施自動化安全掃描和測試

組織層面

• 培訓所有員工瞭解安全最佳實踐
• 建立明確的事件回應流程
• 定期進行安全評估和紅隊演練
• 實施強大的身份管理和存取控制
• 建立供應鏈安全程式

透過這種全面方法，組織可以顯著減少 Kubernetes 環境中的安全風險，並在發生入侵時快速有效地回應。

結論

入侵偵測是 Kubernetes 安全體系中不可或缺的一部分，而組織安全則是整體防禦策略的根本。隨著雲原生技術的不斷發展，我們需要同時關注技術創新和人為因素，以建立真正有效的安全架構。

未來的 Kubernetes 安全將更加註重自動化和人工智慧化，但人類因素仍將是安全策略中最重要也是最具挑戰性的部分。透過結合先進的技術防禦和強大的組織安全文化，我們可以為雲原生應用建立一個更安全的未來。

在安全領域，我們永遠不能停止學習和適應。攻擊者不斷創新，防禦者也必須如此。保持警覺，不斷更新知識，並在技術和人的因素上同等投資，是確保 Kubernetes 環境安全的唯一途徑。

Kubernetes環境中的組織架構金字塔

在建構Kubernetes環境時，組織架構是決定成功與否的關鍵因素之一。從玄貓多年的實務經驗來看，這種架構可以視為一個金字塔，每一層都有其獨特的功能與挑戰。

組織金字塔的五個關鍵層次

團隊與層級結構

金字塔的基礎層是團隊組織與功能劃分。即使在小型組織中，團隊結構與職責範圍的明確定義也是不可或缺的。在玄貓協助建構的多個Kubernetes環境中，發現即使是小團隊，清晰的功能劃分也能大幅提高工作效率。

在實務上，我建議根據功能而非技術來劃分團隊。例如，可以有負責使用者經驗的團隊、負責核心服務的團隊，而非僅分為前端和後端團隊。這種方式能更好地對應業務需求，減少跨團隊溝通的成本。

檔案、知識函式庫與培訓

這是一個經常被低估的層次。檔案、知識函式庫和培訓活動構成了組織知識的傳承系統。大多數人依賴這些資源，但只有少數人負責建立和維護它們。

在Kubernetes環境中，這一層尤為重要。舉例來說，一個更新的設定變更若沒有適當記錄，可能導致後續維護人員的困惑和錯誤。玄貓在每個專案中都會建立標準化的檔案範本，包含：

• 架構概覽
• 佈署流程
• 常見問題排解
• 設定變更歷史

這種做法確保了知識的持續傳承，即使在人員流動後也能維持系統的穩定執行。

政策與規範

政策層定義了組織的運作規則。這些政策可以是內部的或外部的、監管性的或業務導向的，但都需要正式定義並在下一層中執行。

在Kubernetes環境中，政策可能包括：

• 資源配額政策
• 安全合規要求
• 容器映像檔管理規範
• 名稱空間使用準則

實施這些政策的方式多種多樣，從手動審核到使用Open Policy Agent等工具自動化執行。關鍵在於政策必須清晰、可執行與定期更新。

工具集

工具層包含從Linux到CI/CD管道再到Kubernetes等各種軟體。這是大多數技術人員日常工作中最直接觸的部分。

在選擇工具時，玄貓建議考慮以下幾點：

• 工具的學習曲線與團隊現有技能的比對度
• 與現有系統的整合能力
• 社群活躍度與長期支援
• 擴充套件性與自動化潛力

應用與服務

金字塔的頂端是你所擁有並希望發布的應用或服務。從開發者的角度來看，這應該是你關注的焦點，無論是增加新功能還是修復錯誤。

對於平台導向或維運角色的人員來說，他們通常更關注金字塔中的"工具"層，並在導向開發者時扮演更多的指導角色。

Kubernetes的維運語言統一

Kubernetes建立了一種開發者和基礎設施維運人員都能使用的維運詞彙，這使得兩者之間的溝通比以往往更加順暢。例如，當開發者和維運人員都能理解「Pod」、「Deployment」和「Service」等概念時，討論應用佈署和擴充套件策略就變得更加高效。

這種分享詞彙的建立是Kubernetes成功的關鍵因素之一，它打破了傳統的"開發vs維運"的隔閡，促進了DevOps文化的真正落地。

雲端供應商環境中的組織挑戰

根據美國家標準與技術研究院(NIST)的定義，雲端運算必須展現以下幾個基本特徵：

雲端運算的五大基本特徵

隨需自助服務

使用者可以單方面地設定計算、儲存或網路資源，無需與服務提供商進行人工互動。在Kubernetes環境中，這通常透過API或控制檯實作，使團隊能夠按需建立和管理叢集。

廣泛的網路存取

功能可透過標準機制在(公共)網路上存取。對於Kubernetes來說，這意味著API伺服器和其他關鍵元件需要有良好的網路可達性，同時保持適當的安全控制。

資源池化

雲供應商的計算資源被池化以服務多個消費者，使用多租戶模型。在管理Kubernetes叢集時，這要求我們對資源使用有清晰的監控和控制機制。

快速彈性

資源可以彈性地取得和釋放，幾乎看起來是無限的。這與Kubernetes的自動擴充套件功能完美契合，允許工作負載根據需求自動調整資源。

計量消費

透過計量能力自動控制和最佳化資源使用。在雲端Kubernetes環境中，這需要我們建立有效的成本監控和最佳化策略。

加強叢集安全的組織實踐

叢集安全在很大程度上依賴於組織實踐。為了增強組織的安全意識，玄貓建議考慮舉辦內部活動或參與外部活動，例如KubeCon上提供的活動：

• 攻擊和防禦Kubernetes叢集（KubeCon NA 2019 CTF）
• 雲原生安全教程（KubeCon EU 2020）
• TAG安全CTF總結影片（KubeCon NA 2020和KubeCon EU 2021）

這些活動能幫助團隊成員從實踐中學習安全知識，提高對潛在威脅的認識。

分享責任模型

在雲環境中使用Kubernetes時，理解分享責任模型至關重要。雲供應商通常會定義哪些安全和合規方面是他們的責任，哪些是客戶的責任。這些定義通常出現在服務級別協定(SLAs)中，同時也規定了服務不可用時的合約罰則或賠償。

主要雲供應商都有各自的分享責任模型：

• AWS的分享責任模型
• Azure的變體
• Google針對GKE和Anthos的分享責任檔案

此外，網際網路安全中心(CIS)為三大雲供應商提供了基礎安全基準。

管理Kubernetes叢集中的責任劃分

在管理Kubernetes叢集的環境中，你需要考慮幾個方面：

1. 當標準化使用Kubernetes來建立更具互操作性的系統或避免供應商鎖定時，API焦點從雲供應商中心轉向Kubernetes中心。這意味著Kubernetes抽象了許多（如果不是全部）資源。雖然從互操作性角度來看這很棒，但也意味著你需要承擔更多責任。

2. 無伺服器產品（如Fargate和Cloud Run）通常意味著更多責任由雲供應商承擔。例如，當發布新的CVE時，無需修補節點。

以EKS為例，AWS分享責任模型指出Amazon負責雲的安全，而客戶負責雲中的安全，這意味著使用該服務執行的任何和所有應用程式的操作和修補，包括控制平面，如自定義控制器或CNI外掛。

假設Amazon擁有的Helm圖表（例如ACK控制器）存在安全問題：Amazon負責修補控制器並提供更新的映像和圖表，而作為客戶，你負責使用Amazon提供的最新修補版本更新叢集中的控制器。

設定驗證與標準

在你負責的領域，要注意你執行的軟體設定和版本。你可以使用常見標準和基準來驗證你的設定：

• DevSec Docker強化標準
• DevSec Kubernetes強化標準

這些標準提供了一套最佳實踐，可以幫助你確保你的環境符合安全基準。

帳戶衛生管理

在叢集內或環境（雲供應商）中存取資源是開發人員和維運人員完成工作的基本要求。通常，挑戰在於要麼有一個安全的設定，要麼有一個可用的設定。使用密碼、YubiKeys、OTP裝置的一次性密碼等組合來建立身份可能很繁瑣，導致人們尋找捷徑，試圖繞過安全控制。

雖然有像Google的BeyondCorp這樣的前沿方法，但許多公司還沒有準備好採用。在身份和存取挑戰得到其他方式解決之前，玄貓建議在雲環境中採用結構化的帳戶衛生管理方法。

三階段帳戶衛生流程

入職階段

大多數公司在這方面做得不錯。在將人員納入組織並進一步納入團隊的過程中，建立LDAP或POSIX組成員資格。此外，你需要組織範圍的政策，定義哪個角色對哪些資源有什麼樣的存取許可權（只讀、建立等）。

例如，AWS IAM提供服務控制策略(SCP)，允許你定義對組織中所有帳戶的最大可用許可權的中央控制。

稽核和監控階段

在人員作為組織一部分的整個時間內，你需要監控存取（內部和外部）以及能夠進行事後稽核。這包括：

• 定期審查許可權分配
• 監控異常存取模式
• 記錄關鍵資源的存取歷史
• 建立自動化警示系統

離職階段

這是許多組織失敗的地方。任何存取許可權，無論是對叢集本身、CI管道、容器倉函式庫、Git倉函式庫還是Slack例項，都必須是可復原的。也就是說，當一個人離開組織時，必須強製取消對所有資源的存取。

玄貓建議建立一個標準化的離職清單，確保所有存取許可權都能被及時復原。這個清單應該包括：

• 雲平台帳戶
• Kubernetes叢集存取
• 程式碼倉函式庫許可權
• CI/CD系統存取
• 監控和日誌系統許可權
• 團隊協作工具（如Slack、Teams）

實施最小許可權原則

在管理帳戶存取時，最小許可權原則是一個關鍵概念。這意味著使用者只應獲得完成其工作所需的最小許可權集。這不僅減少了安全風險，還簡化了許可權管理。

在Kubernetes環境中，這可以透過RBAC（根據角色的存取控制）來實作，為不同角色（如開發者、維運人員、稽核員）定義精確的許可權集。

本地環境中的Kubernetes組織挑戰

雖然雲環境提供了許多便利，但許多組織出於各種原因（如合規要求、效能需求或成本考量）選擇在本地佈署Kubernetes。這帶來了一系列獨特的挑戰。

本地佈署的獨特挑戰

硬體管理與擴充套件

在本地環境中，你需要自行管理和維護所有硬體。這包括：

• 規劃初始容量和擴充套件策略
• 處理硬體故障和替換
• 管理網路基礎設施
• 確保電源和冷卻系統的可靠性

與雲環境不同，本地環境中的擴充套件通常需要提前幾週或幾個月計劃，並涉及實際的硬體採購和安裝。

網路設定複雜性

本地Kubernetes佈署的網路設定往往更為複雜。你需要考慮：

• Pod網路和節點網路的整合
• 負載平衡器的佈署和設定
• 入口控制器的設定
• 與現有網路基礎設施的整合

玄貓建議在本地環境中使用Calico或Cilium等CNI外掛，它們提供了豐富的網路政策功能，有助於增強安全性。

儲存解決方案

在本地環境中，你需要自行設計和管理儲存解決方案。這包括：

• 選擇適合工作負載的儲存型別（區塊儲存、檔案儲存等）
• 設定和管理儲存叢集（如Ceph、GlusterFS）
• 設定永續性儲存區和儲存類別
• 實施備份和災難還原策略

通用考量：雲端與本地環境共有的組織挑戰

無論你選擇在雲端還是本地佈署Kubernetes，都有一些通用的組織考量需要關注。

團隊結構與技能發展

成功的Kubernetes佈署需要適當的團隊結構和技能組合。玄貓建議考慮以下幾點：

跨職能團隊組建

傳統的開發和維運分離模式在Kubernetes環境中效率較低。相反，組建包含開發、維運和安全專業知識的跨職能團隊能更好地支援Kubernetes工作負載。

這種團隊結構促進了知識分享，減少了溝通障礙，並允許更快的問題解決和創新。

持續學習文化

Kubernetes生態系統發展迅速，團隊需要保持學習新功能、最佳實踐和安全考量。建立持續學習文化的方法包括：

• 定期技術分享會
• 參與社群活動和會議
• 內部培訓計劃
• 鼓勵認證（如CKA、CKAD）

明確的職責劃分

即使在跨職能團隊中，明確的職責劃分也很重要。這包括：

• 誰負責叢集基礎設施
• 誰負責應用佈署和監控
• 誰負責安全稽核和合規
• 當問題發生時的升級路徑

檔案和知識管理

無論在何種環境中，完善的檔案和知識管理都是Kubernetes成功的關鍵。

標準化檔案結構

建立標準化的檔案結構，包括：

• 架構圖和元件說明
• 佈署和設定
• 操作手冊和故障排除
• 安全策略和最佳實踐

知識分享機制

實施有效的知識分享機制，例如：

• 內部wiki或知識函式庫
• 程式碼和設定儲存函式庫
• 技術部落格或通訊
• 定期回顧會和學習分享

自動化檔案生成

在可能的情況下，自動化檔案生成過程。例如：

• 使用工具從程式碼註解生成API檔案
• 自動記錄設定變更
• 使用Kubernetes自定義資源來描述和檔案化系統

政策執行與合規

無論環境如何，政策執行和合規都是關鍵考量。

政策即程式碼

將政策定義為程式碼，使其可版本控制、可測試與可自動執行。工具如Open Policy Agent (OPA)和Kyverno允許你定義和執行Kubernetes資源的政策。

合規自動化

自動化合規檢查和報告，減少手動稽核的負擔。這可以包括：

• 定期安全掃描
• 設定驗證
• 合規報告生成

持續稽核

實施持續稽核機制，確保系統始終符合安全和合規要求。這包括：

• 監控政策違規
• 記錄和分析安全事件
• 定期審查存取許可權

在Kubernetes環境中，組織挑戰往往與技術挑戰一樣重要。無論你選擇在雲端還是本地佈署Kubernetes，都需要仔細考慮團隊結構、檔案管理、政策執行和帳戶衛生等方面。

透過建立清晰的組織結構、實施有效的知識管理系統、理解分享責任模型並維護嚴格的帳戶衛生，你可以為Kubernetes佈署建立一個強大的組織基礎。

記住，成功的Kubernetes實施不僅需要技術專業知識，還需要組織敏捷性和文化適應性。隨著Kubernetes生態系統的不斷發展，保持學習和適應的文化將是長期成功的關鍵。

透過遵循本文概述的最佳實踐，你可以克服Kubernetes環境中的組織挑戰，實作更安全、更高效的雲原生營運。

長期憑證的安全隱憂與臨時憑證的優勢

在雲端安全中，憑證管理一直是個關鍵議題，特別是在使用者離職流程中。玄貓在多年的雲端架構經驗中發現，長期憑證如密碼或SSH金鑰可能成為嚴重的攻擊媒介。這個問題涉及兩種情境：最好的情況是離職人員無惡意，只是忽略了他們仍能存取Git儲存函式庫或含敏感資訊的S3儲存貯體；而最壞的情況則是，懷有不滿或惡意的前員工可能在離職後造成嚴重破壞。

長期憑證的管理挑戰

長期憑證的主要問題在於其需要定期輪換和復原。然而，某些工具或協定如SSH在原生狀態下對輪換或復原活動並不友好。雖然現在有越來越多解決方案（例如透過OAuth2進行SSH認證），但真正的問題是：為何不一開始就使用臨時憑證？

臨時憑證：更安全的選擇

臨時憑證提供了一個優雅的解決方案，完全避開了長期憑證的輪換和復原困境。以AWS安全令牌服務(STS)為例，它能為使用者和應用程式提供短期（分鐘到小時）的即時憑證。

臨時憑證實作案例

# 使用AWS STS取得臨時憑證的範例
import boto3

# 建立STS客戶端
sts_client = boto3.client('sts')

# 假設角色取得臨時憑證
response = sts_client.assume_role(
    RoleArn='arn:aws:iam::123456789012:role/MyRole',
    RoleSessionName='MySession',
    DurationSeconds=3600  # 有效期1小時
)

# 從回應中取得臨時憑證
credentials = response['Credentials']
access_key = credentials['AccessKeyId']
secret_key = credentials['SecretAccessKey']
session_token = credentials['SessionToken']

這段程式碼展示瞭如何使用AWS SDK for Python (boto3)來取得臨時安全憑證。程式首先建立一個STS客戶端，然後使用assume_role方法向AWS請求臨時憑證。RoleArn引數指定要擔任的IAM角色，RoleSessionName提供此次擔任角色的識別名稱，而DurationSeconds設定憑證的有效時間為一小時(3600秒)。取得的臨時憑證包含存取金鑰ID、私密存取金鑰和工作階段令牌，這些都可用於後續的AWS API呼叫，與會在指定時間後自動失效。

各雲端供應商的臨時憑證解決方案

各大雲端供應商都提供了臨時憑證解決方案：

• AWS：安全令牌服務(STS)提供短期憑證
• Azure：共用存取簽章(SAS)允許有限時間的資源存取
• Google：STS API提供臨時授權機制

實際應用中，可以使用像Okta這樣的身分提供者和單一登入解決方案，根據短期STS令牌為EKS提供身分驗證。這種方法不僅提高了安全性，還簡化了憑證管理流程。