K8s安全实战:从漏洞靶场到红蓝对抗

📅 2026/7/12 2:53:12
K8s安全实战:从漏洞靶场到红蓝对抗
你有没有遇到过这样的场景收到告警说集群被入侵了打开审计日志什么都没记录。或者某个业务Pod被攻破后攻击者顺着ServiceAccount一路提到了集群管理员权限。问题的根源不在“不知道”而在于没有亲手验证过。本文通过一套完整的K8s漏洞靶场带你从攻击者的视角走一遍真实攻击链。一、为什么需要实战靶场K8s安全的难点攻击是一条链不是一个点。一个典型路径RCE进Pod → ServiceAccount提权 → 特权容器逃逸 → 窃取云凭证 → 横向移动。实战靶场让你亲手走通攻击链再亲手堵住缺口。二、精选靶场与工具Kubepwn基于Kind的本地靶场预置容器逃逸、RBAC提权、RCE等场景。自带FalcoLokiGrafana监控栈。⚠️ 仅限教育环境Kubernetes Goat21种攻击手法的详细文档适合初学者。kube-benchCIS基准扫描把模糊风险变成可量化的检查项。三、三大风险实战训练 RBAC权限配置不当模拟创建高权限SA → 调用API Server列举Secret → 获取凭证 → 创建特权Pod。防御用Role/RoleBinding限定namespace定期review权限用Gatekeeper禁止cluster-admin绑定。 审计日志缺失模拟在Kubepwn中执行攻击看Falco捕获了什么、Loki漏掉了什么。防御启用审计日志重点记录pods/exec、secrets、rbac变更采集到Loki/ES建立异常检测规则。 容器逃逸三种路径特权容器挂载宿主机根目录chroot /host通过docker.sock在宿主机创建容器利用运行时CVE如CVE-2024-21626防御强制Pod Security Standards的Restricted策略部署Falco监控unshare、mount、chroot启用Seccomp/AppArmor。四、快速启动# 部署Kubepwn git clone https://github.com/alejandrox1/kubepwn.git cd kubepwn python3 deploy.py # kube-bench扫描 docker run --pidhost -v /etc:/etc:ro -v /var:/var:ro aquasec/kube-bench:latest学习顺序Secret窃取 → RBAC提权 → 容器逃逸 → 持久化后门⚠️ 免责声明本文仅供教育和授权测试使用。你在K8s安全中踩过哪些坑评论区聊聊。