OWASP Kubernetes Top 10
Open Web Application Security Project (OWASP) es una Fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software.
OWASP se centra en la seguridad de las aplicaciones web (de ahí su nombre), pero con el tiempo ha ampliado su alcance debido al avance hacia diferentes tipos de sistemas modernos.
A medida que el desarrollo de aplicaciones pasa de arquitecturas monolíticas que se ejecutan tradicionalmente en máquinas virtuales ocultas detrás de firewalls a cargas de trabajo de microservicio modernas que se ejecutan en infraestructura de nube, es importante actualizar los requisitos de seguridad para cada entorno de aplicación.
Es por eso que la OWASP ha creado OWASP Kubernetes Top 10: una lista de los 10 vectores de ataque más comunes específicamente para el entorno de Kubernetes.
En la imagen anterior, destacamos qué componente o parte se ve afectada por cada uno de los riesgos que aparecen en OWASP Kubernetes asignados a un modelo de amenazas de Kubernetes generalizado para ayudar en la comprensión.
Este análisis también se sumerge en cada riesgo de OWASP y brinda detalles técnicos sobre por qué la amenaza es prominente, así como mitigaciones comunes. También es útil agrupar los riesgos en tres categorías y en orden de probabilidad. Las categorías de riesgo son:
Misconfigurations
- K00: Welcome to the Kubernetes Security Top Ten
- K01:2022 Insecure Workload Configurations
- K09:2022 Misconfigured Cluster Components
- K03:2022 Overly Permissive RBAC Configurations
- K07:2022 Missing Network Segmentation Controls
Lack of visibility
- K05:2022 Inadequate Logging and Monitoring
- K04:2022 Lack of Centralized Policy Enforcement
- K08:2022 Secrets Management Failures
Vulnerability management
- K02:2022 Supply Chain Vulnerabilities
- K06:2022 Broken Authentication Mechanisms
- K10:2022 Outdated and Vulnerable Kubernetes Components
Fuente: Sysdig
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!