本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

SUSE Rancher Prime 安全最佳实践

限制对 /version 和 /rancherversion 路径的公共访问

上游(本地)Rancher 实例提供有关其运行的 Rancher 版本和用于构建它的 Go 版本的信息。该信息可以通过 /version 路径访问,用于自动化版本更新或确认部署是否成功等任务。上游实例还提供可以通过 /rancherversion 路径访问的 Rancher 版本信息。

对手可以滥用这些信息来识别正在运行的 Rancher 版本,并与潜在的漏洞进行交叉关联以进行利用。如果您的上游 Rancher 实例在网上公开可用,请使用第 7 层防火墙来阻止 /version/rancherversion

有关保护您的服务器的更多信息,请参见 OWASP Web 应用程序安全测试 - 枚举基础设施和应用程序管理接口

会话管理

某些环境可能需要额外的会话管理安全控制。例如,您可能希望限制用户的并发活动会话或限制这些会话可以从哪些地理位置发起。Rancher 默认不支持此类功能。

如果您需要此类功能,请将第 7 层防火墙与 外部身份验证提供者 结合使用。

使用外部负载均衡器保护易受攻击的端口

您应该在启用 SSL 卸载的 外部负载均衡器 后保护以下端口:

  • *K3s:*端口 6443,由 Kubernetes API 使用。

  • *RKE2:*端口 6443,由 Kubernetes API 使用,以及端口 9345,用于节点注册。

这些端口具有 TLS SAN 证书,其中列出了节点的公共 IP 地址。攻击者可以利用这些信息获得未经授权的访问权限或监控集群上的活动。保护这些端口有助于减少节点的公共 IP 地址被潜在攻击者泄露的风险。

Rancher 用户名策略

默认情况下,Kubernetes 不提供基线用户名政策的强制执行机制。在 Rancher 中,这意味着任何用户名格式、命名约定或基线策略的强制执行都应由外部身份提供者的策略来处理,如果这些策略存在的话。

在 Rancher 中,admin 是管理员用户的默认用户名,如 这里 所强调的。

潜在基线策略的示例包括:

  • 要求用户名遵循组织约定(例如,firstname.lastname

  • 强制执行最小或最大长度要求

  • 不允许某些特殊字符

  • 通过不允许保留名称(例如,adminroot)来防止冒充

如果在身份提供者层没有这些控制措施,就存在不一致或不安全的用户名实践的风险,这可能会使访问审计变得复杂,并导致特权升级尝试。

Rancher 目前仅强制执行 最小密码长度.

*建议:*我们强烈建议客户:

  • 直接在其外部身份提供者(例如,LDAP、Active Directory、SAML或OIDC)中审查和配置用户名基线策略。

  • 确保这些策略与组织的安全和合规要求保持一致。

  • 定期审计用户账户,以检测命名不一致或策略违规。

有关更多信息,请参见:

WAF规则

Rancher旨在支持广泛的部署场景,包括客户可能以编程方式自动创建或配置大量集群的环境。在 Rancher 内部施加严格的应用程序级限制可能会干扰需要动态扩展的合法工作负载。

例如:

  • CI/CD管道可能会频繁创建和拆除集群。

  • 自助服务门户可以按需为开发人员配置集群。

  • 测试环境可能会生成大量的 API 调用。

*风险:*如果没有适当的速率限制,攻击者可能会利用未认证或已认证的端点来:

  • 耗尽资源(拒绝服务)。

  • 增加存储成本。

  • 降低合法用户的性能。

*建议:*减轻此风险的最有效方法是在基础设施或Web应用防火墙(WAF)层实施速率限制和滥用保护。这种方法允许根据每个环境的预期使用和扩展特征来调整阈值。一些控制措施的示例包括:

  • 配置Web应用防火墙或API网关,以对敏感操作(如集群创建和配置)实施速率限制。

  • 根据基线工作负载预期定义阈值(例如,每个客户端每分钟的最大请求数)。

  • 监控日志并对异常情况发出警报,以检测潜在的滥用行为。

  • 应用资源配额,这是 Rancher 的一项功能,限制项目或名称空间可用的资源。

有关更多信息,请参见:

Rancher 用户名策略

默认情况下,Kubernetes不提供基线用户名策略的强制执行机制。在 Rancher 中,这意味着任何用户名格式、命名约定或基线策略的强制执行都应由外部身份提供者的策略来处理,如果这些策略存在的话。

在 Rancher 中,admin 是管理员用户的默认用户名,如 这里 所强调的。

潜在基线策略的示例包括:

  • 要求用户名遵循组织约定(例如,firstname.lastname

  • 强制执行最小或最大长度要求

  • 不允许某些特殊字符

  • 通过不允许保留名称(例如,adminroot)来防止冒充

如果在身份提供者层没有这些控制措施,就存在不一致或不安全的用户名实践的风险,这可能会使访问审计变得复杂,并导致特权升级尝试。

Rancher 目前仅强制执行 最小密码长度.

*建议:*我们强烈建议客户:

  • 直接在其外部身份提供者(例如,LDAP、Active Directory、SAML或OIDC)中审查和配置用户名基线策略。

  • 确保这些策略与组织的安全和合规要求保持一致。

  • 定期审计用户账户,以检测命名不一致或策略违规。

有关更多信息,请参见:

WAF规则

Rancher旨在支持广泛的部署场景,包括客户可能以编程方式自动创建或配置大量集群的环境。在 Rancher 内部施加严格的应用程序级限制可能会干扰需要动态扩展的合法工作负载。

例如:

  • CI/CD管道可能会频繁创建和拆除集群。

  • 自助服务门户可以按需为开发人员配置集群。

  • 测试环境可能会生成大量的 API 调用。

*风险:*如果没有适当的速率限制,攻击者可能会利用未认证或已认证的端点来:

  • 耗尽资源(拒绝服务)。

  • 增加存储成本。

  • 降低合法用户的性能。

*建议:*减轻此风险的最有效方法是在基础设施或Web应用防火墙(WAF)层实施速率限制和滥用保护。这种方法允许根据每个环境的预期使用和扩展特征来调整阈值。一些控制措施的示例包括:

  • 配置Web应用防火墙或API网关,以对敏感操作(如集群创建和配置)实施速率限制。

  • 根据基线工作负载预期定义阈值(例如,每个客户端每分钟的最大请求数)。

  • 监控日志并对异常情况发出警报,以检测潜在的滥用行为。

  • 应用资源配额,这是 Rancher 的一项功能,限制项目或名称空间可用的资源。

有关更多信息,请参见: