ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
擁有存取權的使用者 在 台灣物聯網實驗室 IOT Labs Facebook 的精選貼文
IoT的快速發展迫使人們重新思考傳統Wi-Fi,Wi-Fi HaLow與傳統Wi-Fi有何不同?
TECHSUGARTECHSUGAR 發表於 2021年6月22日 15:00 2021-06-22
Wi-Fi就像是我們互聯世界的氧氣,是當今最普遍的無線網路協議,承載了超過一半的網際網路流量。「Wi-Fi 是一個通用術語,指的是經過二十多年發展而成的802.11協議家族。Wi-Fi聯盟是推動Wi-Fi應用和發展的組織,該組織用數字命名法,簡化了常用的幾代Wi-Fi名稱,例如,Wi-Fi 4 = 802.11n、Wi-Fi 5 = 802.11ac 、Wi-Fi 6 = 802.11ax。您正在家裡或工作場所使用的,很有可能就是這些類型的Wi-Fi。
儘管Wi-Fi 4/5/6無處不在,但物聯網(IoT)的快速發展,迫使人們重新思考傳統Wi-Fi,揭示技術差距,重新定義802.11協議在現今超低功耗物聯網設備的無線連接世界中應該發揮的作用。物聯網和機器對機器(M2M)應用,對遠端連接和低功耗的更高要求,促使人們需要另一種為物聯網而最佳化的Wi-Fi。
Wi-Fi HaLow(發音為HEY-low)協議,透過提供超低功耗的無線解決方案,填補了這一空白,與傳統Wi-Fi相比,該方案可以在更遠的距離和更低的功耗下,連接更多的物聯網設備。該協議於2016年得到了IEEE 802.11ah任務組的批准,被Wi-Fi聯盟稱為Wi-Fi HaLow。
Wi-Fi HaLow本質上是一款低功耗、遠距離、多用途的Wi-Fi版本,在免許可的1 GHz頻譜下運行。Wi-Fi HaLow標準結合了能效、遠端連接、低延遲、高解析度影片品質數據速率、安全功能和本地IP支持,是無線連接、電池供電的物聯網設備的理想協議選擇。讓我們仔細看看Wi-Fi HaLow和傳統Wi-Fi之間的一些主要分別,以及為什麼802.11ah協議非常適合物聯網應用的連接要求。
一種省電的協議
Wi-Fi HaLow為耗電的物聯網設備,提供了卓越的能效。IEEE 802.11ah規定的各種複雜的休眠模式,使HaLow設備能夠長時間處於極低功率狀態, 節省電池能量:
TWT(Target wake time):這允許工作站(STA)和存取點(AP)預先安排一個時間,喚醒休眠的節點以存取訊號。
RAW(Restricted access window):存取點可以授予工作站子集傳輸其資料的權限,而其他工作站則被迫休眠、緩衝非緊急數據或兩者兼而有之。
BSS(Basic Service Set )空閒期:這將工作站的「允許空閒期」延長至五年。
TIM(Traffic Indication Mapping ): 更有效地分組編碼TIM,節省信標(Beacon)的傳輸時間。
短MAC標頭:將低標頭傳輸虛耗、傳輸時間和功耗,並釋放無線電波頻段。
空值PHY協議數據單元(NPD):這將類似MAC的ACKs/NACKs嵌入PHY層,以減少時間和功耗。
短信標:短(有限)信標頻繁發送以同步工作站,而完整信標的發送頻率較低。
BSS著色機制:顏色分配表示特定接入點的BSS組,而站點可以忽略其他顏色。
雙向TXOP(BDT:Bi-directional TXOP):當喚醒工作站,發現存在用於傳輸的上行和下行訊框(Frame)時,會減少介質的存取次數。BDT使用實體層協議資料單元(PPDU)的訊號(SIG)字段中的響應指示,以增加對第三方工作站傳輸的TXOP持續時間保護。
該協議的高效休眠和電源管理模式,支援物聯網設備使用電池運行多年,以及多種靈活的電源和電池大小選擇,從採用鈕扣電池的短距離物聯網設備,到傳輸超過一公里的更高功率、採用更大電池的應用。與2.4 GHz和5 GHz頻段的Wi-Fi協議相比,該協議採用的sub-GHz窄頻訊號,傳輸距離更遠,能耗更低,讓每單位能耗可傳輸更多數據。
因此,Wi-Fi HaLow晶片所需的功率僅為傳統Wi-Fi晶片的一小部分。雖然傳統Wi-Fi的數據速率較高,讓使用者能夠在2.4 GHz、5 GHz和6 GHz頻段,使用寬頻頻道快速傳輸高解析影片和下載大量檔案,但這些Wi-Fi連接的有效距離很短,電池消耗很快,需要頻繁充電或更換電池,或者最好有一個主電源連接。基於這些原因,Wi-Fi HaLow是電源受限的物聯網設備的更好選擇,這些設備需要達到更遠的距離,並能用電池運行數年,同時仍然提供較高的數據吞吐量。
Wi-Fi HaLow的sub-1 GHz協議優化了滲透率、覆蓋範圍、功率和容量。
覆蓋範圍更廣
802.11標準涵蓋的頻率範圍非常廣泛,從sub-GHz到毫米波(mmWave)。Wi-Fi HaLow是第一個在免許可的sub-GHz頻段運行的Wi-Fi標準。Wi-Fi HaLow提供的數據速率,從幾百kb/s到幾十Mb/s不等,傳輸距離從幾十公尺到一公里以上。
與傳統Wi-Fi使用的最窄的20MHz頻道相比,Wi-Fi HaLow的sub-1 GHz訊號使用更窄的頻道,從1MHz到更窄。由於頻道中的熱雜訊較低,這種20倍的頻寬系數轉化為13 dB的link budget改進。與傳統的2.4 GHz Wi-Fi相比,750 MHz – 950 MHz之間的RF頻率,需要額外增加8dB-9 dB的link budget,進而節省自由空間傳輸損耗。此外,Wi-Fi HaLow協議增加了一個範圍最佳化的調變和編碼方案(MCS10),可提供額外的3dBlink budget改進。
總之,與傳統的2.4GHz IEEE 802.11n(Wi-Fi 4)相比,Wi-Fi HaLow提供了高達24dB的link budget改進。與頻率更高、頻寬更寬的802.11ac(Wi-Fi 5)和802.11ax(Wi-Fi 6/6E)協議相比,Wi-Fi HaLowlink budget優勢進一步增強,其使用頻寬更寬的5GHz和6GHz頻譜。這就解釋了為什麼Wi-Fi HaLow訊號的傳輸距離,是傳統Wi-Fi的十倍,而不需要網路擴展器。例如,電池供電的攝影鏡頭可以放置在家裡或車庫外牆更方便的地方。照明系統可以從單個AP控制,而不管燈具是在室內還是室外的花園裡。
為終端使用者提供無線物聯網解決方案,覆蓋數百公尺的距離,而無需額外的擴展器或昂貴的手機行動網路,是802.11ah協議的一個關鍵競爭優勢。Wi-Fi-HaLow的遠端覆蓋優勢,擴展了智慧型家居和智慧型城市網路的範圍,讓使用者能夠控制1公里以外的物聯網設備,遠遠超出了傳統Wi-Fi協議的覆蓋範圍。
訊號穿透力更強
一般來說:頻率越低,覆蓋範圍越遠,穿透障礙物的能力越強。Sub-GHz 的Wi-Fi HaLow訊號可以比傳統Wi-Fi更容易穿過牆壁和其他障礙物。與2.4GHz和5GHz頻段的Wi-Fi協議相比,住宅和商業建築的建築材料和布局的變化,對sub-GHz HaLow訊號的影響較小。Wi-Fi HaLow可以穿透牆壁和建築物,這有助於減少客戶投訴和產品退貨,這些問題有時會困擾使用傳統Wi-Fi的產品。
Wi-Fi HaLow使用正交分頻多工(OFDM)調變,來校正反射和多徑環境。無論設備製造商的產品是在室內還是室外,或者是在地下室還是閣樓,Wi-Fi HaLow都可以確保設備與接入點之間有穩健的連接。這種靈活性消除了提供專有集線器或橋接設備以補償不同家庭架構的額外成本和複雜性。
高度可擴展的解決方案
單個Wi-Fi HaLow接入點可以處理多達8191個設備,是傳統Wi-Fi接入點的4倍多。在可預見的未來,這足夠連接每個LED燈泡、電燈開關、智慧型門鎖、電動窗簾、恆溫器、煙霧探測器、太陽能電池板、監控攝影鏡頭或任何可想像的智慧型家居設備。典型的家庭Wi-Fi路由器,通常支援幾十種設備。當頻寬服務提供商在家居中進行部署時,單個Wi-Fi HaLow接入點可以成為一個可擴展的平台,用於提供額外的安全和公用事業管理設備和服務。
多種訊號傳遞選項,減少了管理和控制大量HaLow設備所需的開銷。這樣可以最大限度地減少訊號衝突,並為有源設備釋放無線電波,以便以最快的調變和編碼方案(MCS)速率傳輸更多數據。與傳統Wi-Fi一樣,HaLow可以根據訊號完整性和與接入點的距離,自動調整頻寬。預定義的MCS級別支持單流、單天線產品的頻寬從150 Kbps到40 Mbps,使用的頻寬從1 MHz到8 MHz,80 Mbps的能力也可通過使用可選的16 MHz寬頻道來實現。
Wi-Fi HaLow的星形網路拓撲結構、卓越的穿透力、廣闊的覆蓋面積和巨大的容量,將無線連接從難以部署和頻寬受限的網狀網路中解放出來,簡化了網路安裝,並將總體持有成本降至最低。
具有抗噪性的免許可頻譜
與採用2.4GHz、5GHz和6GHz頻段的傳統Wi-Fi一樣,Wi-Fi HaLow使終端使用者能夠擁有自己的設備並使用免許可的sub-GHz無線電頻譜,範圍從750MHz到950MHz。Wi-Fi HaLow的可用頻率範圍、最大傳輸功率和占空比,在世界各地有所不同。(例如,美洲可用的HaLow頻譜是902 MHz至928 MHz,而在歐洲是863 MHz至868 MHz)。
Wi-Fi HaLow在工業、科學和醫療(ISM)頻段內運行,可以使用多種頻段:1MHz、2MHz、4MHz、8MHz和16MHz。頻寬越窄,訊號傳輸的距離就越遠。使用OFDM,以跨多個子頻道的數據包形式傳輸數據,這可以提高在具有挑戰性的RF環境中的性能,特別是當有來自其他無線電設備的強干擾時。前向錯誤更正(FEC)編碼也為恢復數據包提供了額外的保護,確保穩健的連接。
安全性和互通性
與其他IEEE 802.11 Wi-Fi版本一樣,Wi-Fi HaLow是一種固有的安全無線協議,支援最新的Wi-Fi認證要求(WPA3)和空中傳輸(OTA)AES加密,其數據速率可以實現安全的OTA韌體升級。
就像其他類型的Wi-Fi一樣,HaLow是一個全球公認的標準(IEEE 802.11ah),定義了連接設備如何進行安全認證和通訊。採用Wi-Fi HaLow的設備供應商,可以保證其產品和網路,將按照Wi-Fi聯盟的開髮指導來實現互通性。由於Wi-Fi HaLow是IEEE 802.11標準的一部分,Wi-Fi HaLow網路也可以與Wi-Fi 4、Wi-Fi 5和Wi-Fi 6網路共存,而不影響其RF性能。
本地IP支援
所有物聯網路都需要網路協議(IP)支持,以實現雲端連接。由於Wi-Fi HaLow是802.11 Wi-Fi標準,因此它提供本地TCP/IP支持。這種內建的IP功能,意味著物聯網連接不需要專有閘道器或橋接器。所有連接到具有Wi-Fi HaLow功能的路由器的客戶端設備,可以使用IPv4/IPv6傳輸協議,直接連結網際網路,以獲得基於雲端的服務和物聯網數據的管理。
HaLow效應:延伸範圍,拓展物聯網的可能性
傳統Wi-Fi的網路擁塞、範圍限制和較高的功耗,以及可連接到單個AP的設備數量有限,在當今物聯網設備的世界中已不再可行。這些限制阻礙了各行業出現的以物聯網為中心的新商業模式,這些模式需要更遠的距離、更大的容量、更靈活的電池和電源選項,同時最大限度地降低部署成本。
作為一種遠端協議,Wi-Fi HaLow支持那些2.4GHz和5GHz Wi-Fi無法達到的室內外物聯網應用,例如遠端監控鏡頭、門禁網路甚至無人機。其他潛在的使用案例包括大型公共場所,如體育場館、購物中心和會議中心,在這些場所,單個Wi-Fi HaLow接入點可以替代大量的接入點,無需複雜的網狀網路,簡化了安裝,降低了總持有成本。
工業物聯網、過程控制感測器、大樓自動化、倉庫和零售店等眾多應用,也將受益於這種遠端、低功耗協議,讓無數設備能夠在日益自動化的世界中保持連接。事實上,Wi-Fi-HaLow在傳統的802.11協議中因其覆蓋範圍、能效、容量和多功能性而脫穎而出。
附圖:▲Wi-Fi 4/5/6與Wi-Fi HaLow的比較
▲ 傳統的Wi-Fi 4/5/6協議,使用更高的頻率和更寬的頻寬來最大化吞吐量。
▲ 比較802.11n/ac(左)和802.11ah(右)的吞吐量與範圍。(資料來源:Sensors期刊(Basel )。2016年11月,IEEE 802.11ah:一種應對物聯網挑戰的技術,作者:Victor Baños-Gonzalez, M. Shahwaiz Afaqui, Elena Lopez-Aguilera, and Eduard Garcia-Villegas)
資料來源:https://www.techbang.com/posts/87835-wifi-halow-iot?fbclid=IwAR1P3nR4iV8V3ZhhOO4zX7GZ_9Tz4v5MBzLlCX3aXYbnOCVqPYi58LPFrmQ
擁有存取權的使用者 在 iThome Security Facebook 的精選貼文
Android手機預載的應用程式,很可能擁有高度的存取權限!而且,研究人員指出這樣的特權能被用來存取武漢肺炎的曝露通知GAEN。
https://www.ithome.com.tw/news/144105
---------------------------------------
【獨步全球.臺灣唯一 𝗖𝗬𝗕𝗘𝗥𝗦𝗘𝗖 𝟮𝟬𝟮𝟭 臺灣資安大會】
👉👉 5/4 ~ 5/6 臺北南港展覽二館 免費參加 馬上出發!
✦ 全方位 200+ 主題論壇議程
https://r.itho.me/2021-agenda
✦ 突破 200 + 品牌資安大展
https://r.itho.me/2021-expo
✦ 佳評如潮 Cyber LAB 獨家企劃
https://r.itho.me/2021-lab
✦ Cyber Talent 新鮮人職場專區
https://r.itho.me/2021-talent
✦ 看見臺灣資安館 自主研發實力
https://r.itho.me/2021-twpavilion
✦ 擴增升級 六大實境遊戲區
https://r.itho.me/2021-playground
✦ 票選 Tech Demo Award 抽大獎
https://r.itho.me/2021-techdemo
✦ 逛展與會限定 多重實用好禮
https://r.itho.me/2021-specialevents
🏆 超規格 3 天展會、撐住 2021 全球唯一實體資安盛事
獨家內容 全程免費、馬上前往南港展覽二館現場體驗 🔰
________________________________
𝗖𝗬𝗕𝗘𝗥𝗦𝗘𝗖 𝟮𝟬𝟮𝟭 臺灣資安大會
時間: 5 月 4 - 6 日
地點: 臺北南港展覽二館
官網: https://r.itho.me/CYBERSEC_2021
#TRUST_redefined #信任重構
#CYBERSEC2021 #2021臺灣資安大會
擁有存取權的使用者 在 【Google Drive雲端硬碟】一次搞定!雲端硬碟檔案擁有權轉移 的推薦與評價
企業最怕員工離職之後,原本存在雲端硬碟(Google Drive)的資料要怎麼一次全部把 擁有 權轉給其他人呢?好像很麻煩... 但如果是 使用 Google Workspace(舊 ... ... <看更多>