《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Kubernetes安全的五個熱門話題

Kubernetes安全的五個熱門話題

2021-09-24
來源:安全牛
關(guān)鍵詞: 安全 話題

  隨著企業(yè)基于云的數(shù)字化轉(zhuǎn)型不斷推進,,Kubernetes(K8s)的安全防護已受到廣泛關(guān)注,,近日ARMO的首席執(zhí)行官Shauli Rozen在接受海外媒體采訪時重點討論了Kubernetes目前較熱門的五個話題

  01 與其他平臺一樣,Kubernetes容易受到網(wǎng)絡(luò)攻擊。是什么驅(qū)使網(wǎng)絡(luò)犯罪分子瞄準(zhǔn) Kubernetes,,他們希望獲得什么?

  Shauli Rozen:這個問題應(yīng)當(dāng)從攻擊者的角度回答,。那么,,攻擊者在尋找什么?他們正在尋找目標(biāo),。他們?nèi)绾芜x擇目標(biāo),?主要通過兩個關(guān)鍵參數(shù)進行考量:

  1.高價值目標(biāo):隨著Kubernetes變得更加主流,被更多公司使用,,在更多環(huán)境中,,它被部署在具有高價值信息的地方,它不再只是某個局部的小工作負載,、測試應(yīng)用程序或“軟件游樂場”,,它是在生產(chǎn)環(huán)境的核心和極速增長的組織中。

  2.易于攻擊:基于Kubernetes的系統(tǒng)容易遭受攻擊的最大因素不是底層技術(shù)漏洞,,而是因為它是新的(技術(shù)),。攻擊者喜歡新系統(tǒng),因為組織往往還不知道如何安全地配置這些系統(tǒng),。

  除此之外,,Kubernetes是一個非常復(fù)雜的系統(tǒng),它通常運行基于微服務(wù)的架構(gòu),,這些架構(gòu)本質(zhì)上更復(fù)雜,,擁有更多的API及不斷變化和激增的軟件工件——這自然會增加攻擊面。

  在2021年春季關(guān)于Kubernetes安全狀況的報告中,,RedHat指出,,94%的受訪者在其 Kubernetes環(huán)境中遇到過安全事件。這些事件的主要原因是配置錯誤和漏洞,。這主要是因為在快速采用的同時,,K8s仍在不斷發(fā)展。

  02 Kubernetes安全流程是如何構(gòu)建的,?

  Shauli Rozen:我的第一個建議是:讓了解Kubernetes來龍去脈的人負責(zé)這個流程,。這聽起來微不足道,但情況并非總是如此,?;贙ubernetes的環(huán)境比以往任何時候都更需要將策略與技術(shù)分開,并使安全成為一項工程策略,。

  然后,,該流程應(yīng)側(cè)重于安全性和操作性兩個主要方面。首先,Kubernetes安全態(tài)勢管理 (KSPM) – 盡早(在CI管道期間)掃描,、查找和修復(fù)軟件漏洞的過程,、方法和控制,以防止它們進入生產(chǎn)環(huán)境,。這里的目標(biāo)是最小化攻擊面,,并盡可能地強化K8s環(huán)境。其次:運行時保護,。在網(wǎng)絡(luò)攻擊發(fā)生時(在大多數(shù)情況下是在生產(chǎn)期間)檢測和預(yù)防網(wǎng)絡(luò)攻擊的過程,、方法和控制。這里的目標(biāo)是最大限度地提高K8s環(huán)境對網(wǎng)絡(luò)攻擊的彈性,。

  我看到大多數(shù)公司都是從KSPM開始著手的,,我認為這是合理的,這種方式做起來更快,,縮小了差距,,并且對生產(chǎn)環(huán)境的影響較小。在查看Kubernetes安全配置并獲得指導(dǎo)時,,有一些權(quán)威組織發(fā)布的框架和文檔可以使用,,目前業(yè)界已經(jīng)開發(fā)了幾個開源工具,讓框架的測試變得更加容易,。

  03 云端托管和本地部署Kubernetes之間有什么區(qū)別,?你會推薦哪一個?為什么,?

  Shauli Rozen:對于不在公共云中但希望體驗云技術(shù)和微服務(wù)架構(gòu)優(yōu)勢的組織來說,,本地部署Kubernetes是一個不錯的選擇。這意味著你需要部署自己的Kubernetes系統(tǒng),,管理,、配置、更新它的所有方面等,。老實說,,這并不容易,我已經(jīng)看到幾個組織開始了這個過程,,但從未完成它,。托管Kubernetes會將大部分負擔(dān)交給托管供應(yīng)商,并讓組織能夠?qū)W⒂诠ぷ髫撦d而不是基礎(chǔ)設(shè)施,。如果沒有其他限制因素(例如不使用公共云的安全政策),,我個人會選擇后者。

  04 保證Kubernetes的安全部署需要哪些基本流程,?

  Shauli Rozen:作為DevOps和自動化的倡導(dǎo)者,,我很難定義組織流程,,我將更多地參考CI/CD 流程和所需的自動化,而不是組織流程,。任何流程中最重要的部分是將安全需求集成到 CI/CD流程中,,并使開發(fā)人員和DevOps專業(yè)人員可以輕松使用它們。當(dāng)出現(xiàn)新的安全要求時,,應(yīng)將其添加到中心位置并自動向下推送到CI/CD以幫助開發(fā)組織盡早弄清楚該要求對其流程的影響,,幫助其不斷改變和更新自動化流程來滿足新的安全需求。

  05 在不久的將來,,我們可以期待Kubernetes安全性的哪些現(xiàn)實改進?

  Shauli Rozen:我相信對Kubernetes安全性的最顯著影響不是技術(shù)性的,,而是行為性的,,隨著Kubernetes變得更加主流,集群的配置將受到更多審查,,開發(fā)人員,、DevOps和架構(gòu)師將更加意識到他們可能增加的潛在風(fēng)險到系統(tǒng)。這將導(dǎo)致更少的配置錯誤,,減少攻擊面,。在技術(shù)方面,我期待更多來自Kubernetes SIG安全小組的本地安全控制和指導(dǎo)方針,,例如POD安全策略的變化,,使其更加可用和友好。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。