随着企业基于云的数字化转型不断推进,Kubernetes(K8s)的安全防护已受到广泛关注,近日ARMO的首席执行官Shauli Rozen在接受海外媒体采访时重点讨论了Kubernetes目前较热门的五个话题:
1. 与其他平台一样,Kubernetes容易受到网络攻击。是什么驱使网络犯罪分子瞄准 Kubernetes,他们希望获得什么?
Shauli Rozen:这个问题应当从攻击者的角度回答。那么,攻击者在寻找什么?他们正在寻找目标。他们如何选择目标?主要通过两个关键参数进行考量:
- 高价值目标:随着Kubernetes变得更加主流,被更多公司使用,在更多环境中,它被部署在具有高价值信息的地方,它不再只是某个局部的小工作负载、测试应用程序或“软件游乐场”,它是在生产环境的核心和极速增长的组织中。
- 易于攻击:基于Kubernetes的系统容易遭受攻击的最大因素不是底层技术漏洞,而是因为它是新的(技术)。攻击者喜欢新系统,因为组织往往还不知道如何安全地配置这些系统。
除此之外,Kubernetes是一个非常复杂的系统,它通常运行基于微服务的架构,这些架构本质上更复杂,拥有更多的API及不断变化和激增的软件工件——这自然会增加攻击面。
在2021年春季关于Kubernetes安全状况的报告中,RedHat指出,94%的受访者在其 Kubernetes环境中遇到过安全事件。这些事件的主要原因是配置错误和漏洞。这主要是因为在快速采用的同时,K8s仍在不断发展。
2. Kubernetes安全流程是如何构建的?
Shauli Rozen:我的第一个建议是:让了解Kubernetes来龙去脉的人负责这个流程。这听起来微不足道,但情况并非总是如此。基于Kubernetes的环境比以往任何时候都更需要将策略与技术分开,并使安全成为一项工程策略。
然后,该流程应侧重于安全性和操作性两个主要方面。首先,Kubernetes安全态势管理 (KSPM) – 尽早(在CI管道期间)扫描、查找和修复软件漏洞的过程、方法和控制,以防止它们进入生产环境。这里的目标是最小化攻击面,并尽可能地强化K8s环境。其次:运行时保护。在网络攻击发生时(在大多数情况下是在生产期间)检测和预防网络攻击的过程、方法和控制。这里的目标是最大限度地提高K8s环境对网络攻击的弹性。
我看到大多数公司都是从KSPM开始着手的,我认为这是合理的,这种方式做起来更快,缩小了差距,并且对生产环境的影响较小。在查看Kubernetes安全配置并获得指导时,有一些权威组织发布的框架和文档可以使用,目前业界已经开发了几个开源工具,让框架的测试变得更加容易。
3. 云端托管和本地部署Kubernetes之间有什么区别?你会推荐哪一个?为什么?
Shauli Rozen:对于不在公共云中但希望体验云技术和微服务架构优势的组织来说,本地部署Kubernetes是一个不错的选择。这意味着你需要部署自己的Kubernetes系统,管理、配置、更新它的所有方面等。老实说,这并不容易,我已经看到几个组织开始了这个过程,但从未完成它。托管Kubernetes会将大部分负担交给托管供应商,并让组织能够专注于工作负载而不是基础设施。如果没有其他限制因素(例如不使用公共云的安全政策),我个人会选择后者。
4. 保证Kubernetes的安全部署需要哪些基本流程?
Shauli Rozen:作为DevOps和自动化的倡导者,我很难定义组织流程,我将更多地参考CI/CD 流程和所需的自动化,而不是组织流程。任何流程中最重要的部分是将安全需求集成到 CI/CD流程中,并使开发人员和DevOps专业人员可以轻松使用它们。当出现新的安全要求时,应将其添加到中心位置并自动向下推送到CI/CD以帮助开发组织尽早弄清楚该要求对其流程的影响,帮助其不断改变和更新自动化流程来满足新的安全需求。
5. 在不久的将来,我们可以期待Kubernetes安全性的哪些现实改进?
Shauli Rozen:我相信对Kubernetes安全性的最显著影响不是技术性的,而是行为性的,随着Kubernetes变得更加主流,集群的配置将受到更多审查,开发人员、DevOps和架构师将更加意识到他们可能增加的潜在风险到系统。这将导致更少的配置错误,减少攻击面。在技术方面,我期待更多来自Kubernetes SIG安全小组的本地安全控制和指导方针,例如POD安全策略的变化,使其更加可用和友好。
【本文是IDC.NET专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/137496.html<
