2025-05-06 10:21:23 作者：

近日，有技術媒體報道指出，微軟方面發出警告，稱在 Kubernetes 的部署過程中，存在由于默認配置不當而引發的安全隱患。特別是使用現成的 Helm charts 進行部署時，可能會導致敏感信息被暴露在公網中，帶來嚴重的安全風險。

Kubernetes 是一個廣泛使用的開源平臺，主要用于自動化部署、擴展和管理容器化應用。而 Helm 則是一種包管理工具，通過預定義的部署模板（即 charts）來簡化復雜應用的安裝流程。然而，研究人員指出，許多 Helm charts 在默認設置中缺乏必要的安全防護措施。

微軟 Defender for Cloud Research 的兩位研究人員表示，如果用戶缺乏云安全方面的經驗，直接采用這些未經調整的默認配置，就有可能將服務無意間暴露在互聯網中，從而被攻擊者掃描到并加以利用。

報告中提到了三個較為典型的案例：

1. Apache Pinot 的 Helm chart 默認通過 Kubernetes 的 LoadBalancer 服務暴露了其核心組件，例如 pinot-controller 和 pinot-broker，并未啟用身份驗證機制。

2. Meshery 允許通過公開的 IP 地址進行注冊，這意味著任何人都可以獲取集群的操作權限。

3. Selenium Grid 默認通過 NodePort 暴露了服務，依賴外部防火墻進行保護。雖然官方提供的 Helm chart 并無此問題，但一些社區項目仍存在類似風險。

網絡安全研究顯示，已有攻擊者利用這類錯誤配置部署惡意程序，例如用于挖掘加密貨幣的 XMRig 礦工。

因此，微軟建議用戶在使用 Helm charts 部署應用之前，務必仔細檢查默認配置，確保啟用了身份驗證機制以及網絡隔離策略。同時，也應定期對暴露在外的接口進行掃描，并加強對容器運行過程中的異常行為監控。

研究人員特別強調，若忽視對 YAML 文件及 Helm charts 的審查，企業很可能在毫無察覺的情況下部署了完全暴露的服務，從而成為攻擊者的潛在目標。