隨著企業(yè)基于云的數(shù)字化轉(zhuǎn)型不斷推進(jìn),Kubernetes(K8s)的安全防護(hù)已受到廣泛關(guān)注,近日ARMO的首席執(zhí)行官Shauli Rozen在接受海外媒體采訪時(shí)重點(diǎn)討論了Kubernetes目前較熱門的五個(gè)話題:
01 與其他平臺(tái)一樣,,Kubernetes容易受到網(wǎng)絡(luò)攻擊。是什么驅(qū)使網(wǎng)絡(luò)犯罪分子瞄準(zhǔn) Kubernetes,,他們希望獲得什么,?
Shauli Rozen:這個(gè)問(wèn)題應(yīng)當(dāng)從攻擊者的角度回答,。那么,攻擊者在尋找什么,?他們正在尋找目標(biāo),。他們?nèi)绾芜x擇目標(biāo)?主要通過(guò)兩個(gè)關(guān)鍵參數(shù)進(jìn)行考量:
1.高價(jià)值目標(biāo):隨著Kubernetes變得更加主流,,被更多公司使用,,在更多環(huán)境中,它被部署在具有高價(jià)值信息的地方,,它不再只是某個(gè)局部的小工作負(fù)載,、測(cè)試應(yīng)用程序或“軟件游樂(lè)場(chǎng)”,它是在生產(chǎn)環(huán)境的核心和極速增長(zhǎng)的組織中,。
2.易于攻擊:基于Kubernetes的系統(tǒng)容易遭受攻擊的最大因素不是底層技術(shù)漏洞,,而是因?yàn)樗切碌模夹g(shù))。攻擊者喜歡新系統(tǒng),,因?yàn)榻M織往往還不知道如何安全地配置這些系統(tǒng),。
除此之外,Kubernetes是一個(gè)非常復(fù)雜的系統(tǒng),,它通常運(yùn)行基于微服務(wù)的架構(gòu),,這些架構(gòu)本質(zhì)上更復(fù)雜,擁有更多的API及不斷變化和激增的軟件工件——這自然會(huì)增加攻擊面,。
在2021年春季關(guān)于Kubernetes安全狀況的報(bào)告中,,RedHat指出,94%的受訪者在其 Kubernetes環(huán)境中遇到過(guò)安全事件。這些事件的主要原因是配置錯(cuò)誤和漏洞,。這主要是因?yàn)樵诳焖俨捎玫耐瑫r(shí),,K8s仍在不斷發(fā)展。
02 Kubernetes安全流程是如何構(gòu)建的,?
Shauli Rozen:我的第一個(gè)建議是:讓了解Kubernetes來(lái)龍去脈的人負(fù)責(zé)這個(gè)流程,。這聽(tīng)起來(lái)微不足道,但情況并非總是如此,?;贙ubernetes的環(huán)境比以往任何時(shí)候都更需要將策略與技術(shù)分開(kāi),并使安全成為一項(xiàng)工程策略,。
然后,,該流程應(yīng)側(cè)重于安全性和操作性兩個(gè)主要方面。首先,,Kubernetes安全態(tài)勢(shì)管理 (KSPM) – 盡早(在CI管道期間)掃描,、查找和修復(fù)軟件漏洞的過(guò)程、方法和控制,,以防止它們進(jìn)入生產(chǎn)環(huán)境,。這里的目標(biāo)是最小化攻擊面,并盡可能地強(qiáng)化K8s環(huán)境,。其次:運(yùn)行時(shí)保護(hù),。在網(wǎng)絡(luò)攻擊發(fā)生時(shí)(在大多數(shù)情況下是在生產(chǎn)期間)檢測(cè)和預(yù)防網(wǎng)絡(luò)攻擊的過(guò)程、方法和控制,。這里的目標(biāo)是最大限度地提高K8s環(huán)境對(duì)網(wǎng)絡(luò)攻擊的彈性,。
我看到大多數(shù)公司都是從KSPM開(kāi)始著手的,我認(rèn)為這是合理的,,這種方式做起來(lái)更快,,縮小了差距,并且對(duì)生產(chǎn)環(huán)境的影響較小,。在查看Kubernetes安全配置并獲得指導(dǎo)時(shí),,有一些權(quán)威組織發(fā)布的框架和文檔可以使用,目前業(yè)界已經(jīng)開(kāi)發(fā)了幾個(gè)開(kāi)源工具,,讓框架的測(cè)試變得更加容易,。
03 云端托管和本地部署Kubernetes之間有什么區(qū)別?你會(huì)推薦哪一個(gè),?為什么,?
Shauli Rozen:對(duì)于不在公共云中但希望體驗(yàn)云技術(shù)和微服務(wù)架構(gòu)優(yōu)勢(shì)的組織來(lái)說(shuō),本地部署Kubernetes是一個(gè)不錯(cuò)的選擇,。這意味著你需要部署自己的Kubernetes系統(tǒng),,管理,、配置、更新它的所有方面等,。老實(shí)說(shuō),,這并不容易,我已經(jīng)看到幾個(gè)組織開(kāi)始了這個(gè)過(guò)程,,但從未完成它,。托管Kubernetes會(huì)將大部分負(fù)擔(dān)交給托管供應(yīng)商,并讓組織能夠?qū)W⒂诠ぷ髫?fù)載而不是基礎(chǔ)設(shè)施,。如果沒(méi)有其他限制因素(例如不使用公共云的安全政策),,我個(gè)人會(huì)選擇后者。
04 保證Kubernetes的安全部署需要哪些基本流程,?
Shauli Rozen:作為DevOps和自動(dòng)化的倡導(dǎo)者,,我很難定義組織流程,我將更多地參考CI/CD 流程和所需的自動(dòng)化,,而不是組織流程,。任何流程中最重要的部分是將安全需求集成到 CI/CD流程中,并使開(kāi)發(fā)人員和DevOps專業(yè)人員可以輕松使用它們,。當(dāng)出現(xiàn)新的安全要求時(shí),,應(yīng)將其添加到中心位置并自動(dòng)向下推送到CI/CD以幫助開(kāi)發(fā)組織盡早弄清楚該要求對(duì)其流程的影響,幫助其不斷改變和更新自動(dòng)化流程來(lái)滿足新的安全需求,。
05 在不久的將來(lái),,我們可以期待Kubernetes安全性的哪些現(xiàn)實(shí)改進(jìn)?
Shauli Rozen:我相信對(duì)Kubernetes安全性的最顯著影響不是技術(shù)性的,,而是行為性的,隨著Kubernetes變得更加主流,,集群的配置將受到更多審查,,開(kāi)發(fā)人員、DevOps和架構(gòu)師將更加意識(shí)到他們可能增加的潛在風(fēng)險(xiǎn)到系統(tǒng),。這將導(dǎo)致更少的配置錯(cuò)誤,,減少攻擊面。在技術(shù)方面,,我期待更多來(lái)自Kubernetes SIG安全小組的本地安全控制和指導(dǎo)方針,,例如POD安全策略的變化,使其更加可用和友好,。