微软示警：Kubernetes 默认配置恐泄露敏感数据

IT之家 5 月 6 日消息，科技媒体 bleepingcomputer 昨日（5 月 5 日）发布博文，报道称微软示警称 Kubernetes 部署中的默认配置存在严重安全隐患，尤其是使用现成的 Helm charts 时，可能导致敏感数据公开发布。

IT之家注：Kubernetes 是一个广受欢迎的开源平台，用于自动化部署、扩展和管理容器化应用。而 Helm 是包管理工具，通过 charts（即部署模板）简化了复杂应用的部署流程。

微软 Defender for Cloud Research 的研究人员 Michael Katchinskiy 和 Yossi Weizman 警告称，许多 Helm charts 的默认设置缺乏必要的安全措施。用户若不具备云安全经验，直接使用这些默认配置，可能无意中将服务暴露于互联网，方便攻击者扫描并利用漏洞。

微软报告中列举了三个典型案例，揭示 Helm charts 的安全问题：

Apache Pinot 的 Helm chart 通过 Kubernetes LoadBalancer 服务暴露核心组件（如 pinot-controller 和 pinot-broker），且未设置任何身份验证。

Meshery 可以通过暴露的 IP 公开注册，任何人均可获取集群操作权限。

Selenium Grid 通过 NodePort 在集群所有节点上暴露服务，仅依赖外部防火墙保护，

尽管官方 Helm chart 无此问题，但许多 GitHub 项目存在类似隐患。此外，Wiz 等网络安全公司曾发现攻击者利用 Selenium Grid 的配置错误部署 XMRig 矿工，挖掘 Monero 加密货币。

微软强烈建议用户从安全角度仔细审查 Helm charts 的默认配置，确保包含身份验证和网络隔离措施。同时，建议定期扫描公开暴露的工作负载接口，密切监控容器中的可疑活动。

研究人员强调，若不仔细检查 YAML 文件和 Helm charts，企业可能在无保护状态下部署服务，完全暴露于攻击者威胁之下。