了解 Kubernetes 合规性和安全框架

作者：季广乾 翻译 2022-06-15 08:01:23

云计算

云原生 Kubernetes 的默认配置并不总是为所有部署的工作负载和微服务提供最佳安全性。此外，如今您不仅要负责保护您的环境免受恶意网络攻击，还要负责满足各种合规性要求。

Kubernetes (K8s) 成为世界领先的容器编排平台是有原因的，当今有74% 的 IT 公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。

但是，尽管 Kubernetes 使容器的使用变得更容易，但在安全性方面也增加了复杂性。

Kubernetes 的默认配置并不总是为所有部署的工作负载和微服务提供最佳安全性。此外，如今您不仅要负责保护您的环境免受恶意网络攻击，还要负责满足各种合规性要求。

合规性已成为确保业务连续性、防止声誉受损和确定每个应用程序的风险级别的关键。合规性框架旨在通过轻松监控控制、团队级别的问责制和漏洞评估来解决安全和隐私问题——所有这些都在 K8s 环境中提出了独特的挑战。

为了完全保护 Kubernetes，需要多管齐下的方法：干净的代码、完全的可观察性、防止与不受信任的服务交换信息以及数字签名。还必须考虑网络、供应链和 CI/CD 管道安全、资源保护、架构最佳实践、机密管理和保护、漏洞扫描和容器运行时保护。

合规框架可以帮助您系统地管理所有这些复杂性。让我们来看看五个主要框架以及它们如何帮助您的企业更安全地使用Kubernetes。

一、互联网安全中心 (CIS) Kubernetes 基准

互联网安全中心 (CIS) 是一家历史悠久的全球安全组织，已将其 Kubernetes 基准创建为“客观的、共识驱动的安全指南”，为集群组件配置提供行业标准建议并强化 Kubernetes 安全态势。

级别 1 建议实施起来相对简单，同时提供主要好处，通常不会影响业务功能。级别 2 或“深度防御”建议适用于需要更全面战略的关键任务环境。

CIS 还提供确保集群资源符合基准并为不合规组件生成警报的工具。CIS 框架适用于所有 Kubernetes 发行版。

• 优点：  严格且被广泛接受的配置设置蓝图。
• 缺点：  并非所有建议都与所有组织相关，必须相应地进行评估。

二、Kubernetes 的 NIST 应用容器安全

美国政府的国家标准与技术研究院 (NIST)提供了专门的应用程序容器安全指南，作为其自愿框架的一部分。该指南重点介绍了 Kubernetes 环境的安全挑战——包括镜像、注册表、编排器、容器和主机操作系统——并提供了基于最佳实践的对策。例如，NIST 建议利用 Kubernetes（或其他协调器）提供敏感信息本地管理的能力，在运行时安全地将此数据供应到 Web 应用程序容器中，同时确保只有 Web 应用程序容器才能访问此敏感数据，并且该数据不会持久化到磁盘。

• 优点：  值得信赖的标准化风险管理方法。
• 缺点：  要求可能不明确，需要专业知识才能正确实施。

三、NSA 和 CISA Kubernetes 加固指南

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 最近发布了他们的 Kubernetes 强化指南，描述并详细说明了对 Kubernetes 集群的特定威胁，并在五个关键领域提供了缓解指南：

• Kubernetes    pod 安全性
• 网络分离和加固
• 认证和授权
• 日志审计
• 升级和应用程序安全实践

该报告强调了供应链风险中的危害，来自恶意行为者和基础设施级别的内部威胁，识别常见漏洞并推荐最佳实践以避免错误配置。

• 优点： 非常详细、实用、实用、特定于 Kubernetes 的建议。
• 缺点：  不包括对容器生命周期安全管理的建议。​

四、Kubernetes 的 MITRE ATT&CK® 矩阵

Kubernetes 的威胁矩阵是从广受认可的 MITRE ATT&CK（对抗性策略、技术和常识）矩阵发展而来的，它基于当今领先的网络威胁和黑客技术采用了不同的方法。该矩阵用于在对手的攻击生命周期内和常见目标平台的威胁建模，提供入侵指标和攻击指标。对抗性方法允许所有安全和渗透团队制作强大的威胁建模和更全面的攻击响应。

• 优点：广泛的、最新的对手战术数据库。
• 缺点：实施复杂、昂贵的框架，指导不明确，而不是提供精确的缓解步骤。​

五、Kubernetes 的 PCI DSS 合规性

支付卡行业数据安全标准 (PCI DSS) 是存储、处理或传输支付卡数据的每个组织所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在 Kubernetes 中，这是使用逻辑、网络和服务级别分段来完成的。虽然核心 PCI DSS 标准中没有直接涉及容器和微服务，但云计算指南补充提供了容器编排指南。在Kubernetes中，开源封装的某些属性、容器寿命、扩展性和连接性都使PCI DSS遵从性变得复杂。此外，在处理事务时，容器与平台上的其他几个组件通信。

例如，如果您有一个或多个容器在一个或多个专用Kubernetes服务器中运行，则您负责确保范围、分段和验证以及客户数据之间的隔离满足PCI DSS要求。

• 优点：对于处理支付卡数据的公司是强制性的；建立消费者信心。
• 缺点：指南不明确且与技术无关，因此实施需要专业知识。

概括：

Kubernetes 带来了巨大的好处，例如速度和敏捷性。遵守此处探讨的框架有助于最大程度地减少任何伴随风险。指导您的团队采用行业最佳实践至关重要，采用一个或多个这些框架通常是标准化漏洞评估和持续安全的最佳方式。

虽然合规性可能需要一些前期工作，但弹性和长期业务连续性方面的回报将是值得的。在许多情况下，组织也会发现一些附加好处，例如优化、消除低效流程和服务。从长远来看，这可能会节省云计算并减轻团队的管理负担，同时全面保护 Kubernetes 环境并确保实现最佳实践合规性。

*原文：https://dzone.com/articles/the-shifting-cloud-native-landscape-understanding