|
DOI: 10.14489/vkit.2025.05.pp.048-056
Черкашин С. Н., Петров И. А.
АНТИПАТТЕРНЫ И УЯЗВИМОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ KUBERNETES-КЛАСТЕРОВ, ПОДХОДЫ К ПРЕДОТВРАЩЕНИЮ
(с. 48-56)
Аннотация. Рассмотрены традиционные методы защиты Kubernetes-кластеров, их соответствие актуальным стандартам безопасности. Установлено, что классические подходы недостаточно эффективны в динамичных контейнерных средах. Например, статичные политики безопасности часто не учитывают особенности автоматического масштабирования подов, изменчивость сетевых политик и частных обновлений контейнерных образов. Изучены ограничения традиционных методов в контексте ресурсоемкости. Особое внимание уделено проблеме совместимости lagacy-решений с архитектурой Kubernetes, в том числе сложности интеграции систем мониторинга, не адаптированных под распределенные микросервисы. Предложен комплексный подход к обеспечению безопасности Kubernetes-кластера. Акцент сделан на автоматизацию процессов проверки безопасности и снижение нагрузки на инфраструктуру. Проанализированы методы, позволяющие оптимизировать производительность контейнерных приложений без ущерба для уровня защиты. Результатами исследования являются анализ традиционных методов защиты инфраструктуры в контексте Kubernetes-кластеров и представление более эффективных современных подходов к обеспечению безопасности, адаптированных к специфике контейнерных сред, включая управление уязвимостями (Vulnerability Management), сканирование контейнерных образов и метод проверки конфигураций контейнеров и сервисов.
Ключевые слова: кибербезопасность; Kubernetes-кластер; информационная безопасность; защита операционных систем; контейнеры; уязвимости программного обеспечения; защита инфраструктуры; автоматизация; антивирус; виртуальные машины.
Cherkashin S. N., Petrov I. A.
ANTIPATTERNS AND VULNERABILITIES IN SECURING KUBERNETES CLUSTERS, APPROACHES TO PREVENTION
(pp. 48-56)
Abstract. The growing adoption of Kubernetes for container orchestration has intensified the need for robust security practices. This paper examines key antipatterns and vulnerabilities in securing Kubernetes clusters and proposes strategies for mitigating these risks. The focus is on evaluating traditional and modern security approaches, with an emphasis on automating security checks without compromising the performance of containerized environments. The study explores the challenges of balancing security and resource utilization in Kubernetes clusters. It discusses the limitations of deploying traditional security tools, such as antivirus software, on Kubernetes nodes, which can negatively impact system performance. The research highlights alternative security measures optimized for containerized infrastructures, such as using distroless images and immutable operating systems to reduce the attack surface. Additionally, the paper advocates for shifting security checks earlier in the development lifecycle through tools that scan container images for vulnerabilities before deployment. Automated enforcement of security policies in Kubernetes, using Validating Admission Webhooks, is explored as a method to prevent compromised images from entering production environments. The study concludes that securing Kubernetes clusters requires a multilayered approach that integrates automated tools and minimizes the performance impact. It emphasizes the need to balance security measures with operational efficiency, providing practical recommendations for achieving this in production environments.
Keywords: Cybersecurity; Kubernetes cluster; Information security; Operating system protection; Containers; Software vulnerabilities; Infrastructure protection; Automation; Antivirus; Virtual machines.
С. Н. Черкашин (Московский институт электроники и математики имени А. Н. Тихонова Национального исследовательского университета «Высшая школа экономики», Москва, Россия),
И. А. Петров (Финансовый университет при Правительстве Российской Федерации, Москва, Россия) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
S. N. Cherkashin (Moscow Institute of Electronics and Mathematics after A. N. Tikhonov of the National Research University Higher School of Economics, Moscow, Russia)
I. A. Petrov (Financial University under the Government of the Russian Federation, Moscow, Russia) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
1. ГОСТ Р ИСО/МЭК 27001–2021. Системы менеджмента информационной безопасности. Требования [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200181890 (дата обращения: 05.09.2024).
2. Голубь И. С. Основы архитектуры технологии Kubernetes // Постулат. 2020. №12 (62). EDN NTCFXP
3. Малахов М. А., Мельников Ю. С. Защита конечных точек: антивирусы // Информационные технологии в науке, бизнесе и образовании. 2020. С. 165–170. EDN QOEGXD
4. Дорофеева Ф. С. Защита информационной безопасности в операционных системах Windows и Linux // Цифровая экономика: проблемы и перспективы развития. 2023. С. 123–128. EDN RVJYEH
5. Аскаров Т. Е. Архитектура Docker и технологии оркестровки: Docker Swarm и Kubernetes // Научный лидер. 2024. №20(170). С. 9–12. EDN JXOSVI
6. Кравченко А. С. Вопросы настройки безопасности операционной системы Linux // Вестник Воронежского института ФСИН России. 2023. №4. С. 81–85. EDN IUUURS
7. Конов И. А., Лакунина О. Н. Применение Kubernetes для оркестрации контейнеров // Интернаука. 2023. №19-1(289). С. 42–44. EDN WHPCTA
8. Головашов С., Агатий И. Обеспечение информационной безопасности и контроля в Kubernetes: вектор атаки // Системный администратор. 2023. №11(252). С. 28–33. EDN LEJNUU
9. Kazenas G., Ponomareva O. An overview of container security in a Kubernetes cluster // 2023 IEEE Ural-Siberian Conference on Biomedical Engineering, Radioelectronics And Information Technology (Usbereit). 2023. С. 283–285. EDN MSOFMM
10. Юсифов Э. С., Докучаев В. А. Почему проблемы безопасности Kubernetes требуют стратегии нулевого доверия // Технологии информационного общества. 2023. С. 116–118. EDN GJEZJN
11. Revuelta Martinez, Álvaro Study of Security Issues in Kubernetes (K8s) Architectures; Tradeoffs and Opportunities // Tradeoffs and Opportunities. 2023. C. 54. URN urn:nbn:se:uu:diva-507625.
12. Wong A. Y., Chekole E. G., Ochoa M., Zhou J. On the Security of Containers: Threat Modeling, Attack Analysis, and Mitigation Strategies // Computers & Security. 2023. Т. 128. С. 103–140.
13. Ugale S., Potgantwar A. Container Security in Cloud Environments: A Comprehensive Analysis and Future Directions for DevSecOps // Engineering Proceedings. 2023. Т. 59, №. 1. С. 57.
14. Уймин А. Г., Никитин О. Р. Моделирование телекоммуникационной сети средствами сетевых инструментов Linux: инструменты создания цифровых двойников // I-methods. 2023. Т. 15, №. 2. С. 4.
15. Moric Z., Dakic V., Kulic M. Implementing a Security Framework for Container Orchestration // IEEE 11th International Conference on Cyber Security and Cloud Computing (CSCloud). 28–30 июня 2024. Shaghai, China. IEEE, 2024. С. 200–206.
1. Information Security Management Systems. Requirements. Standard No. GOST R ISO/MEK 27001–2021. Retrieved from https://docs.cntd.ru/docment/1200181890 (Accessed: 05.09.2024). [in Russian language]
2. Golub' I. S. (2020). Fundamentals of Kubernetes technology architecture. Postulat, 62(12). [in Russian language]
3. Malahov M. A., Mel'nikov Yu. S. (2020). Endpoint protection: antiviruses. Information technology in science, business and education, 165 – 170. [in Russian language]
4. Dorofeeva F. S. (2023). Information security protection in Windows and Linux operating systems. Digital Economy: Problems and Development Prospects, 123 – 128. [in Russian language]
5. Askarov T. E. (2024). Docker architecture and orchestration technologies: Docker Swarm and Kubernetes. Nauchnyy lider, 170(20), 9 – 12. [in Russian language]
6. Kravchenko A. S. (2023). Questions about configuring security for the Linux operating system. Vestnik Voronezhskogo instituta FSIN Rossii, (4), 81–85. [in Russian language]
7. Konov I. A., Lakunina O. N. (2023). Using Kubernetes for container orchestration. Internauka, 289 (19-1), 42 – 44. [in Russian language]
8. Golovashov S., Agatiy I. (2023). Ensuring Information Security and Control in Kubernetes: Attack Vector. Sistemnyy administrator, 252(11), 28 – 33. [in Russian language]
9. Kazenas G., Ponomareva O. (2023). An overview of container security in a Kubernetes cluster. 2023 IEEE Ural-Siberian Conference on Biomedical Engineering, Radioelectronics and Information Technology (Usbereit), 283 – 285.
10. Yusifov E. S., Dokuchaev V. A. (2023). Why Kubernetes Security Challenges Require a Zero Trust Strategy. Information Society Technologies, 116 – 118. [in Russian language]
11. Revuelta Martinez, Álvaro (2023). Study of Security Issues in Kubernetes (K8s) Architectures; Tradeoffs and Opportunities. Tradeoffs and Opportunities.12. Wong A. Y., Chekole E. G., Ochoa M., Zhou J. (2023). On the Security of Containers: Threat Modeling, Attack Analysis, and Mitigation Strategies. Computers & Security, 128, 103 – 140.
13. Ugale S., Potgantwar A. (2023). Container Security in Cloud Environments: A Comprehensive Analysis and Future Directions for DevSecOps. Engineering Proceedings, 59(1).
14. Uymin A. G., Nikitin O. R. (2023). Modeling Telecom Network with Linux Networking Tools: Digital Twin Creation Tools. I-methods, 15(2). [in Russian language]
15. Moric Z., Dakic V., Kulic M. (2024). Implementing a Security Framework for Container Orchestration. 2024 IEEE 11th International Conference on Cyber Security and Cloud Computing (CSCloud). IEEE, 200 – 206.
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 700 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа скопируйте doi статьи:
10.14489/vkit.2025.05.pp.048-056
и заполните форму
Отправляя форму вы даете согласие на обработку персональных данных.
.
This article is available in electronic format (PDF).
The cost of a single article is 700 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please copy the article doi:
10.14489/vkit.2025.05.pp.048-056
and fill out the form
.
|
Current Issue
Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»