論文の概要: KubeFence: Security Hardening of the Kubernetes Attack Surface

• arxiv url: http://arxiv.org/abs/2504.11126v1
• Date: Tue, 15 Apr 2025 12:15:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-04-24 01:16:33.091765
• Title: KubeFence: Security Hardening of the Kubernetes Attack Surface
• Title（参考訳）: KubeFence: Kubernetes攻撃面のセキュリティ強化
• Authors: Carmine Cesarano, Roberto Natella,
• Abstract要約: K8sは、金融、ヘルスケア、政府などの分野における重要なサービスを含む、コンテナ化されたアプリケーションのオーケストレーションに広く使用されている。 広範かつ機能豊富なAPIインターフェースは、幅広い攻撃面を公開し、K8がソフトウェアの脆弱性や設定ミスの悪用に対して脆弱になる。 本稿では,特定のクライアントワークロードに適した細粒度APIフィルタリングを実装した新しいソリューションであるKubeFenceを提案する。
• 参考スコア（独自算出の注目度）: 3.67004863266419
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Kubernetes (K8s) is widely used to orchestrate containerized applications, including critical services in domains such as finance, healthcare, and government. However, its extensive and feature-rich API interface exposes a broad attack surface, making K8s vulnerable to exploits of software vulnerabilities and misconfigurations. Even if K8s adopts role-based access control (RBAC) to manage access to K8s APIs, this approach lacks the granularity needed to protect specification attributes within API requests. This paper proposes a novel solution, KubeFence, which implements finer-grain API filtering tailored to specific client workloads. KubeFence analyzes Kubernetes Operators from trusted repositories and leverages their configuration files to restrict unnecessary features of the K8s API, to mitigate misconfigurations and vulnerabilities exploitable through the K8s API. The experimental results show that KubeFence can significantly reduce the attack surface and prevent attacks compared to RBAC.
• Abstract（参考訳）: Kubernetes(K8s)は、金融、ヘルスケア、政府といった分野における重要なサービスを含む、コンテナ化されたアプリケーションのオーケストレーションに広く使用されている。 しかし、その広範囲で機能豊富なAPIインターフェースは、幅広い攻撃面を公開しており、K8sはソフトウェアの脆弱性や設定ミスの悪用に対して脆弱である。 K8sがロールベースのアクセス制御(RBAC)を採用してK8s APIへのアクセスを管理したとしても、このアプローチはAPIリクエスト内の仕様属性を保護するために必要な粒度を欠いている。 本稿では,特定のクライアントワークロードに適した細粒度APIフィルタリングを実装した新しいソリューションであるKubeFenceを提案する。 KubeFenceは、信頼できるリポジトリからKubernetesオペレータを分析し、その構成ファイルを活用して、K8s APIの不要な機能を制限することにより、K8s APIを通じて悪用可能な設定ミスや脆弱性を軽減する。 実験の結果,KubeFenceはRBACと比較して攻撃面を著しく低減し,攻撃を防止することができることがわかった。

関連論文リスト

• Fundamental Limitations in Defending LLM Finetuning APIs [61.29028411001255]
  細調整APIの防御は、細調整攻撃を防ぐ能力に基本的に制限されていることを示す。 我々は、危険知識を隠蔽的に伝達するために、良性モデル出力のエントロピーを再利用する'ポイントワイド検出不能'アタックを構築した。 OpenAIの微調整APIに対する攻撃をテストし、有害な複数の質問に対する回答を導き出すことに成功しました。
  論文  参考訳（メタデータ） (2025-02-20T18:45:01Z)
• Rethinking Byzantine Robustness in Federated Recommendation from Sparse Aggregation Perspective [65.65471972217814]
  フェデレーションラーニング(FL)に基づいたフェデレーションレコメンデーション(FR)が出現し、個人データをローカルクライアントに保持し、モデルを協調的に更新する。 FR には独自のスパース集約機構があり、各項目の埋め込みは、一般の FL の密集集合において、完全なクライアントではなく、部分的なクライアントによって更新される。 本稿では,単一項目の集約を最小の実行単位として定義することにより,スパースアグリゲーションの下でのビザンチンのロバスト性を再構成する。 本研究では,スパースアグリゲーションの脆弱性を悪用し,敵の知識と能力に沿って分類する,Sp attackという効果的な攻撃戦略のファミリーを提案する。
  論文  参考訳（メタデータ） (2025-01-06T15:19:26Z)
• K8s Pro Sentinel: Extend Secret Security in Kubernetes Cluster [0.0]
  本研究は,Secret Objectsの暗号化とアクセス制御の自動化を行うオペレータであるK8s Pro Sentinelを紹介する。 Sentinel演算子の性能と信頼性をRed Hat Operator Scorecardとカオスエンジニアリングのプラクティスを用いて評価した。
  論文  参考訳（メタデータ） (2024-11-25T18:15:37Z)
• GenKubeSec: LLM-Based Kubernetes Misconfiguration Detection, Localization, Reasoning, and Remediation [24.312198733476063]
  KCFのミスコンフィグレーション検出のためのルールベース(RB)ツールは静的なルールセットに依存しており、本質的に制限されており、新たに発見されたミスコンフィグレーションを検出できない。 我々は,多種多様なKCFの誤設定を検出するとともに,誤設定の正確な位置を特定し,それらについて詳細な推論を行う,包括的かつ適応的なLLMベースの手法であるGenKubeSecを提案する。
  論文  参考訳（メタデータ） (2024-05-30T11:18:52Z)
• Implementation of New Security Features in CMSWEB Kubernetes Cluster at CERN [1.6804702845109005]
  CMSWEB(k8s)クラスタに導入された新しいセキュリティ機能について論じる。 新機能としては、ネットワークポリシの実装、Open Policy Agent(OPA)のデプロイ、OPAポリシの実施、Vaultの統合などがある。
  論文  参考訳（メタデータ） (2024-05-24T08:22:22Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Exploiting Kubernetes' Image Pull Implementation to Deny Node Availability [0.0]
  アプリケーションプログラミングインタフェース(API)とK8のランタイムインターフェース間のインタラクションは、十分に研究されていない。 CRI-APIはコンテナランタイムを抽象化し、各イメージのダウンロードとともにコンテナの生成とライフサイクルを管理する。 このような攻撃は、最大95%の平均CPU使用量を生成し、新しいコンテナイメージのダウンロードを防止し、潜在的に無制限な時間でI/Oおよびネットワーク使用量を増やすことができることを示す。
  論文  参考訳（メタデータ） (2024-01-19T09:49:53Z)
• G$^2$uardFL: Safeguarding Federated Learning Against Backdoor Attacks through Attributed Client Graph Clustering [116.4277292854053]
  Federated Learning (FL)は、データ共有なしで協調的なモデルトレーニングを提供する。 FLはバックドア攻撃に弱いため、有害なモデル重みがシステムの整合性を損なう。 本稿では、悪意のあるクライアントの識別を属性グラフクラスタリング問題として再解釈する保護フレームワークであるG$2$uardFLを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:15:04Z)
• REaaS: Enabling Adversarially Robust Downstream Classifiers via Robust Encoder as a Service [67.0982378001551]
  サービスプロバイダがエンコーダを事前トレーニングして、クラウドサービスAPIとしてデプロイする方法を示します。 クライアントはクラウドサービスAPIに問い合わせて、トレーニング/テスト入力のフィーチャーベクタを取得する。 私たちは、クライアントが下流の分類器の堅牢性を証明できるように、クラウドサービスが2つのAPIを提供する必要があることを示しています。
  論文  参考訳（メタデータ） (2023-01-07T17:40:11Z)
• OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
  API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。 本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
  論文  参考訳（メタデータ） (2022-12-13T14:28:06Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。