ក្រុមហ៊ុន Microsoft ព្រមានអំពីគ្រោះថ្នាក់ផ្នែកសន្តិសុខដែលលាតត្រដាងដោយ Default Configurations នៅក្នុង Kubernetes Deployements ដែលប្រើនៅក្នុង Out-of-box Helm Charts ដែលអាចលាតត្រដាងទិន្នន័យសម្ងាត់ជាសាធារណៈ។
នៅក្នុងករណីជាច្រើន Helm Chart ទាំងនោះមិនបានទាមទារការផ្ទៀងផ្ទាត់ បន្សល់ទុកដោយ Port Open ដែលអាចកេងចំណេញ និងបានប្រើនូវលេខសម្ងាត់ Hardcoded ទន់ខ្សោយ ជាហេតុងាយនឹងបំបែកបាន។ របាយការណ៍បានចេញផ្សាយដោយអ្នកស្រាវជ្រាវសន្តិសុខ Michael Katchinskiy និង Yossi Weizman របស់ Microsoft Defender សម្រាប់ Cloud Research លើកឡើងពីករណីចំនួន៣ជាឧទាហរណ៍ពីបញ្ហាសន្តិសុខដ៏ធំ ដែលដាក់ Kubernetes Workloads នៅក្នុងគ្រោះថ្នាក់។
ភាពងាយស្រួល និងសុវត្ថិភាព៖ Kubernetes គឺជាផ្លេតហ្វម Open source ដែលត្រូវបានប្រើយ៉ាងទូលំទូលាយ សម្រាប់ស្វ័យប្រវត្តិកម្មនៃការដាក់ពង្រាយ ការធ្វើមាត្រដ្ឋាន និងការគ្រប់គ្រងកម្មវិធីដែលមាន រួមបញ្ចូល (Containerized)។ Helm គឺជាអ្នកគ្រប់គ្រងកញ្ចប់សម្រាប់ Kubernetes និង Charts គឺជា Templates/Blueprints សម្រាប់ការដាក់ពង្រាយកម្មវិធីនៅលើ Platform ដែលផ្តល់នូវ YAML files ដើម្បីកំណត់ Key Resources សម្រាប់ដំណើរការកម្មវិធី។ Helm Charts ពេញនិយមណាស់ ដោយសារតែពួកវាសាមញ្ញ និងដំណើរការលឿនចំពោះការដាក់ពង្រាយស្មុគស្មាញ។ ទោះជាយ៉ាងណា ដូចដែលបានលើកឡើងនៅក្នុងរបាយការណ៍របស់ក្រុមហ៊ុន Microsoft នៅក្នុងករណីជាច្រើន Default Setting នៅក្នុង Charts ទាំងនោះខ្វះខាតនូវវិធានការសុវត្ថិភាពដែលត្រឹមត្រូវ។ អ្នកប្រើប្រាស់ដែលគ្មានបទពិសោធអំពីសន្តិសុខក្លោដ តែងតែដាក់ពង្រាយ Helm Charts ទាំងនោះនៅពេលពួកគេមានដោយអចេតនា បង្ហាញសេវាកម្មទៅលើអ៊ីនធឺណិត និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារស្គេន និងទាញយកកម្មវិធីដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ។
Default Configurations ដែលខ្វះនូវការត្រួតពិនិត្យសុវត្ថិភាពត្រឹមត្រូវនោះបង្កើតឱ្យមានការគំរាមកំហែងផ្នែកសន្តិសុខយ៉ាងធ្ងន់ធ្ងរ បើយោងតាមការព្រមានរបស់អ្នកស្រាវជ្រាវក្រុមហ៊ុន Microsoft។ ដោយមិនបានពិនិត្យដោយប្រុងប្រយ័ត្នចំពោះ YAML Manifests និង Helm Charts នោះ ស្ថាប័នជាច្រើនប្រហែលជាមិនដឹងពីសេវាដាក់ពង្រាយ ដែលខ្វះនូវទម្រង់នៃការការពារ ហើយបានបន្សល់ទុកនូវការលាតត្រដាងទៅឱ្យហេគឃ័រ។ នេះជាបញ្ហាមួយពិសេស នៅពេលកម្មវិធីដែលត្រូវបានដាក់ពង្រាយ (Deployed) អាចស្នើសុំ APIs សម្ងាត់ ឬអនុញ្ញាតឱ្យមានសកម្មភាព Administrative ដែលនេះជាអ្វីដែលយើងនឹងឃើញនាពេលឆាប់ៗនេះ។ អ្នកស្រាវជ្រាវលើកឡើង ៣ករណីរបស់ Helm Charts ដែលដាក់មជ្ឈដ្ឋាន Kubernetes នៅក្នុងគ្រោះថ្នាក់ ដែលនឹងសង្ខេបដូចខាងក្រោម៖
– Apache Pinot: លាតត្រដាងពីសេវាមូលដ្ឋាន (Pinot-controller and Pinot-broker) តាមរយៈ Kubernetes LoadBalancer Service ដោយគ្មានការផ្ទៀងផ្ទាត់។
– Meshery: ការ Sign-up សាធារណៈត្រូវបានអនុញ្ញាតពី IP ដែលត្រូវបានលាតត្រដាង ហើយអនុញ្ញាតឱ្យអ្នកដទៃចុះឈ្មោះចូល និងដំណើរការ Cluster Operations។
– Selenium Grid: NodePort លាតត្រដាងសេវានៅទូទាំង Nodes ទាំងអស់នៅក្នុង Cluster ដែលពឹងផ្អែកលើច្បាប់ការពារ Firewall ខាងក្រៅតែមួយគត់សម្រាប់ការការពារ។ បញ្ហានេះមិនប៉ះពាល់ដល់ Helm Chart ផ្លូវការទេ ប៉ុន្តែបង្ហាញនូវ GitHub Project យ៉ាងទូលំទូលាយ។
ពាក់ព័ន្ធនឹង Selenium Grid, Wiz និងក្រុមហ៊ុនដទៃទៀតបានមើលឃើញពីការវាយប្រហារ ដែលមានគោលដៅលើ Misconfigured Instances សម្រាប់ដាក់ពង្រាយ XMRig miners សម្រាប់ស្វែងរកប្រាក់គ្រីបតូ Monero។ ដើម្បីកាត់បន្ថយគ្រោះថ្នាក់ ក្រុមហ៊ុន Microsoft ណែនាំឱ្យត្រួតពិនិត្យ Default Configuration របស់ Helm Charts ដើម្បីវាយតម្លៃពីគោលការណ៍សន្តិសុខ ដែលធានាថា វារួមបញ្ចូលការផ្ទៀងផ្ទាត់ និងការផ្តាច់បណ្តាញណិតវើក (isolated)។ ជាងនេះ ក្រុមហ៊ុនបានណែនាំឱ្យអនុវត្តការស្គេនឱ្យបានទៀងទាត់ដើម្បីស្វែករកការគណនាដែលមិនត្រឹមត្រូវ ដែលលាតត្រដាងចេញពី Workload Interfaces ជាសាធារណៈ និងត្រួតពិនិត្យ Containers ឱ្យបានដិតដល់លើសកម្មភាពគួរឱ្យសង្ស័យ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៥ ខែឧសភា ឆ្នាំ២០២៥
