《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > AET原創(chuàng) > Kubernetes日漸流行,安全問(wèn)題如何解決?

Kubernetes日漸流行,安全問(wèn)題如何解決,?

2022-04-12
作者:muyx
來(lái)源:AET原創(chuàng)


Kubernetes(通常稱為K8s)是來(lái)自Google云平臺(tái)的開(kāi)源容器集群管理系統(tǒng),,用于自動(dòng)部署,、擴(kuò)展和管理容器化(containerized)應(yīng)用程序?!澳壳笆袌?chǎng)上很多商業(yè)化容器管理平臺(tái)或者公有云服務(wù),,它們所用到的一些容器管理架構(gòu)服務(wù)實(shí)際上都是基于K8s發(fā)展而來(lái)的,K8s在容器自動(dòng)化管理工具方面占有主導(dǎo)地位,,客觀上來(lái)講,,它已然成為一種行業(yè)標(biāo)準(zhǔn)?!比涨?,在Kubernetes安全媒體溝通會(huì)上,Palo Alto Networks(派拓網(wǎng)絡(luò))中國(guó)區(qū)大客戶技術(shù)總監(jiān)張晨女士(Ann Zhang)如是說(shuō),。


張晨.jpg

Palo Alto Networks(派拓網(wǎng)絡(luò))中國(guó)區(qū)大客戶技術(shù)總監(jiān) 張晨

(圖源:派拓網(wǎng)絡(luò))


Kubernetes日漸流行,對(duì)其攻擊愈演愈烈

在企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程中,,上云已經(jīng)成為必然選項(xiàng),,特別是隨著混合云時(shí)代的到來(lái),很多企業(yè)已經(jīng)開(kāi)啟了關(guān)鍵業(yè)務(wù)系統(tǒng)上云的進(jìn)程,,以滿足高速發(fā)展的業(yè)務(wù)對(duì)IT架構(gòu)高性能,、高可用、易擴(kuò)展和高安全等需求,。從云原生環(huán)境全生命周期的技術(shù)堆棧以及對(duì)主流商業(yè)云的支持和覆蓋上,,容器是一個(gè)非常快速和便捷的開(kāi)發(fā)環(huán)境,,所以現(xiàn)在很多開(kāi)發(fā)團(tuán)隊(duì)都傾向于轉(zhuǎn)向用容器化平臺(tái)來(lái)進(jìn)行應(yīng)用的快速開(kāi)發(fā)和部署,,以適應(yīng)前端業(yè)務(wù)部門的需要。

張晨介紹,,Kubernetes本身是一種為容器管理應(yīng)運(yùn)而生的開(kāi)源工具,,設(shè)計(jì)之初并沒(méi)有考慮太多安全問(wèn)題,所以很多安全控制機(jī)制相對(duì)來(lái)講比較缺失,。去年派拓網(wǎng)絡(luò)Unit42安全威脅研究團(tuán)隊(duì)發(fā)現(xiàn)Google Kubernetes Engine (GKE)存在多個(gè)漏洞及針對(duì)其的攻擊技術(shù),,這些漏洞不僅會(huì)影響Google Cloud 用于管理 Kubernetes 集群的最新產(chǎn)品GKE Autopilot,同時(shí)還會(huì)影響GKE標(biāo)準(zhǔn),。Unit42發(fā)現(xiàn) GKE Autopilot 漏洞能夠讓攻擊者升級(jí)權(quán)限,,并接管整個(gè)集群。攻擊者可以隱秘地竊取信息,,部署惡意軟件,,實(shí)施加密挖礦攻擊,以及破壞工作負(fù)載。雖然后來(lái)谷歌發(fā)布了一些補(bǔ)丁去修復(fù)漏洞,,但很多基于它開(kāi)發(fā)出來(lái)的商業(yè)化容器管理平臺(tái)或工具仍然存在安全隱患,。

Kubernetes作為容器編排平臺(tái),目前已廣泛用于管理,、部署和擴(kuò)展容器化應(yīng)用,。在容器環(huán)境下自動(dòng)化管理工具的選擇上,Kubernetes是目前最主流的工具之一,,因此它的使用基數(shù)非常大,。云原生計(jì)算基金會(huì)(CNCF)最新調(diào)查顯示,83%的組織機(jī)構(gòu)在其生產(chǎn)環(huán)境中運(yùn)行 Kubernetes,。在Kubernetes日漸流行的同時(shí),,其安全問(wèn)題也會(huì)隨著本身龐大的生態(tài)系統(tǒng)的激增愈演愈烈,逐漸成為了網(wǎng)絡(luò)攻擊的熱點(diǎn)目標(biāo),。

隨著 Kubernetes技術(shù)的不斷進(jìn)步,,目前簡(jiǎn)單的錯(cuò)誤配置和漏洞已經(jīng)越來(lái)越少見(jiàn),而攻擊者也在不斷升級(jí)攻擊行為,。研究表明,,即使是 Kubernetes 中最細(xì)微的問(wèn)題,也可能成為攻擊的切入點(diǎn),。

 

防范Kubernetes攻擊,,企業(yè)要怎么做?

針對(duì)Kubernetes的惡意攻擊越來(lái)越多,,那么企業(yè)要采取哪些有效的措施,,才能防范這些威脅呢?

GKE的事件已經(jīng)表明,,即使像谷歌這樣的安全廠商,,當(dāng)他在對(duì)Kubernetes進(jìn)行二次包裝的時(shí)候,也會(huì)引入更多的安全風(fēng)險(xiǎn),,并且會(huì)通過(guò)例如說(shuō)特權(quán)提升導(dǎo)致整個(gè)集群被攻破,。這說(shuō)明針對(duì)Kubernetes的攻擊越來(lái)越高級(jí),正在從簡(jiǎn)單的技術(shù)攻擊演變成高級(jí)的Kubernetes定制攻擊,。

Palo Alto Networks(派拓網(wǎng)絡(luò))架構(gòu)師李國(guó)慶建議,,“針對(duì)這種攻擊,如果僅僅是保護(hù)集群的外圍邊緣,,肯定是不夠的,。我們鼓勵(lì)企業(yè)能夠采用檢測(cè)和預(yù)防后續(xù)攻擊這樣的安全解決方案,來(lái)制定相關(guān)的安全審計(jì)策略,?!?Kubernetes 管理員可以通過(guò)制定規(guī)則和采取審核措施,,監(jiān)控、檢測(cè)和預(yù)防集群中的可疑活動(dòng)和權(quán)限升級(jí),。另外,,應(yīng)用 NodeAffinity、Taints 和 PodAntiAffinity 規(guī)則可以將高可靠性的 pod 與不可靠的 pod 分開(kāi),。

在安全平臺(tái)的選擇上,,為了保護(hù)整個(gè)云環(huán)境,最好的解決方案是采用全面的云原生安全平臺(tái),。


李國(guó)慶.png

Palo Alto Networks(派拓網(wǎng)絡(luò))Prisma Cloud 方案架構(gòu)師 李國(guó)慶

(圖源:派拓網(wǎng)絡(luò))

 

張晨介紹,,在企業(yè)IT架構(gòu)的混合云變遷過(guò)程中,云的規(guī)模使用已經(jīng)成為不可阻擋的趨勢(shì),。在這個(gè)過(guò)程中,,關(guān)于云安全有以下四點(diǎn)需要著重關(guān)注:

首先對(duì)于上云之后存在的安全合規(guī)問(wèn)題或者安全漏洞,需要我們具備可見(jiàn)性,;其次,,當(dāng)混合云已經(jīng)成為很多企業(yè)選擇或正在使用的新型主流IT架構(gòu)時(shí),我們必須要對(duì)容器內(nèi)部本身的安全問(wèn)題做到及早發(fā)現(xiàn),;另外,,很多企業(yè)在選擇公有云時(shí),往往不只把業(yè)務(wù)放在一個(gè)公有云上,,考慮到業(yè)務(wù)的連續(xù)性和避免單點(diǎn)故障,他們會(huì)采用多云架構(gòu),。這時(shí)我們需要在企業(yè)的多云環(huán)境下進(jìn)行深度的安全威脅發(fā)現(xiàn),;最后,容器的開(kāi)發(fā)環(huán)境給開(kāi)發(fā)團(tuán)隊(duì)提供了一種非常敏捷的工作方式,,可以非??焖俚亻_(kāi)發(fā)、集成和不斷地修正,,然后投入生產(chǎn),。但這種快速敏捷的開(kāi)發(fā)模式有可能對(duì)安全機(jī)制缺乏考慮,所以就需要開(kāi)發(fā)和運(yùn)維團(tuán)隊(duì)能夠與安全團(tuán)隊(duì)共同協(xié)作,,將必要的安全控制機(jī)制在開(kāi)發(fā)階段就融入到安全檢測(cè)中,,做到安全前置,也就是我們常說(shuō)的安全左移,。

對(duì)于一個(gè)領(lǐng)先的全面云原生安全解決方案來(lái)說(shuō),,應(yīng)該覆蓋以上這四個(gè)方面,這也是現(xiàn)在整個(gè)混合云架構(gòu)下企業(yè)面臨的安全挑戰(zhàn),。

 

Prisma Cloud:貫穿應(yīng)用整個(gè)生命周期的全方位云原生安全

Prisma Cloud是派拓網(wǎng)絡(luò)推出的云原生安全解決方案,。近年來(lái),,派拓網(wǎng)絡(luò)在公有云方案上進(jìn)行了大力投入,不斷并購(gòu)新的領(lǐng)先技術(shù),,并融入到Prisma Cloud平臺(tái),。

Prisma Cloud利用云服務(wù)提供商 API 提供對(duì)公有云環(huán)境的可視性和控制,同時(shí)利用單個(gè)統(tǒng)一的代理框架將安全性擴(kuò)展到主機(jī),、容器和無(wú)服務(wù)器功能,。其憑借對(duì)混合和多云環(huán)境的支持,實(shí)現(xiàn)了全面的云原生安全,。

Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn),,提供實(shí)時(shí)的深度云資源報(bào)告、保持云端的合規(guī)性,、保護(hù)云原生資源及賦能敏捷開(kāi)發(fā),。Prisma Cloud 用戶可以啟用 Kubernetes準(zhǔn)入支持,解決 Kubernetes權(quán)限升級(jí)問(wèn)題,。該功能可以有效防止針對(duì)Kubernetes 的攻擊,。

在剛剛出爐的Forrester Cloud Workload Security評(píng)估中,Prisma Cloud憑借優(yōu)秀的市場(chǎng)占有率和產(chǎn)品能力綜合排名最優(yōu),。而產(chǎn)品能力的全面性以及對(duì)云原生環(huán)境全生命周期和相關(guān)技術(shù)堆棧的覆蓋等,,成為客戶選擇Prisma Cloud的主要原因。

張晨表示,,從2018年到現(xiàn)在,,Prisma Cloud在全球范圍內(nèi)的客戶已經(jīng)實(shí)現(xiàn)了從0增加到近3000個(gè),其中包括74%的財(cái)富100強(qiáng)企業(yè),,為超過(guò)25億個(gè)云資源提供保護(hù),。


圖3.png

Prisma Cloud全面云原生安全解決方案

(圖源:派拓網(wǎng)絡(luò))


 

隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速,上云已經(jīng)成為必然選擇,,在此過(guò)程中,,不可避免地就會(huì)用到Kubernetes,可以預(yù)見(jiàn),,未來(lái)針對(duì)Kubernetes的攻擊還會(huì)繼續(xù)增多,。就Kubernetes和與其類似的自動(dòng)化工具而言,派拓網(wǎng)絡(luò)建議,,無(wú)論是它所在的公有云配置本身,,還是控制的主機(jī)節(jié)點(diǎn),或是軟件安全的配置,,亦或是訪問(wèn)許可,、漏洞,以及第三方軟件提供商,,對(duì)其進(jìn)行二次包裝的各個(gè)方面,,都要進(jìn)行全局統(tǒng)一策略下的安全建設(shè),、檢測(cè)和響應(yīng)。選擇全面的云原生安全平臺(tái),,才能讓防御者有能力保護(hù)集群免受威脅,。

 



此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。