АНАЛІЗ БЕЗПЕКИ МЕРЕЖЕВИХ ПЛАГІНІВ KUBERNETES
DOI: 10.31673/2409-7292.2025.015886
Анотація
Робота присвячена розгляду Kubernetes, що застосовує стандарт Container Network Interface (CNI) для
забезпечення зв’язку між контейнерами, розгорнутими на різних нодах, надаючи гнучкий та масштабований
підхід до конфігурації мережі. У статті розглядається, як така гнучкість, будучи корисною для ефективного
використання ресурсів та спрощення керування, водночас створює також і певні ризики з точки зору безпеки.
Предметом аналізу стають чотири популярні мережеві плагіни — Flannel, Calico, Weave Net та Cilium,
розглядається їх архітектура, способи забезпечення зв’язку між подами та підкреслюються різноманітні ризики
під час їх використання, як от переміщення зловмисника всередині мережі у разі компроментації поди. Основний
акцент зроблено на тому, як різні плагіни реалізують засоби безпеки. Деякі з них надають можливість
конфігурування розширених мережевих політик та шифрування трафіку, в той час як інші покладаються на
мінімалізм та простоту налаштування. У статті наголошується, що ефективна ізоляція трафіку не може
ґрунтуватися лише на налаштуваннях за замовчуванням, особливо з огляду на «плоску» мережеву модель
Kubernetes. Саме тому адміністраторам платформи рекомендується поєднувати стратегії сегментації мережі,
суворого дотримання принципу найменших привілеїв, регулярного оновлення плагінів та моніторингу
середовища. У статті представлено низку рекомендацій що охоплюють технічні заходи, настанови з конфігурації
та організаційні процеси. До них належать застосування мережевих політик, увімкнення шифрування, обмеження
привілеїв компонентів CNI та їх своєчасне оновлення. У міру розростання платформи Kubernetes, зростає і
потреба у ретельному керуванні мережевими плагінами, щоб їх гнучкість та масштабованість не відбувалися за
рахунок безпеки
Ключові слова: Kubernetes, CNI, BGP, eBPF, поди, мережеві політики, шифрування трафіку
Список використаних джерел
1. With Kubernetes, the U.S. Department of Defense is enabling DevSecOps on F-16s and battleships (2020).
CNCF. https://www.cncf.io/case-studies/dod/
2. CNCF SURVEY 2019 (2019). CNCF. https://www.cncf.io/wp-content/uploads/2020/08/CNCF_Survey_
Report.pdf
3. Minna F. et al. (2021). Understanding the Security Implications of Kubernetes Networking. IEEE Security &
Privacy, 19(5), 46–54. https://balakrishnanc.github.io/papers/minna-ieeesp2021.pdf
4. Budigiri G. et al. (2021). Network Policies in Kubernetes: Performance Evaluation and Security Analysis. Joint
EuCNC & 6G Summit. https://doi.org/10.1109/EuCNC/6GSummit51104.2021.9482526
5. Yevle D. (2024). Exploring eBPF and its Integration with Kubernetes. OpenSourceForU. https://www.
opensourceforu.com/2024/12/exploring-ebpf-and-its-integration-with-kubernetes/
6. Calico Official Documentation. https://docs.tigera.io/calico/latest/about/
7. Hoffman K. (2023). Comparing Networking Solutions for Kubernetes: Cilium vs. Calico vs. Flannel. Civo
Blog. https://www.civo.com/blog/calico-vs-flannel-vs-cilium
8. Cilium Official Documentation. https://docs.cilium.io/en/stable/
9. Flannel Official Documentation. https://github.com/flannel-io/flannel
10. Weave Net Official Documentation. https://github.com/weaveworks/weave/tree/master
11. Nam J. et al. (2020). BASTION: A Security Enforcement Network Stack for Container Networks. У 2020
USENIX Annual Technical Conference. http://www.usenix.org/system/files/atc20-nam.pdf
12. Weaveworks (2020). Weave Net 2.8.0 Release Notes (Removal of hostPID and other hardening). OpenCVE.
https://app.opencve.io/cve/?vendor=weave
