Kubernetes安全的五个热门话题

安全 应用安全
近日ARMO的首席执行官Shauli Rozen在接受海外媒体采访时重点讨论了Kubernetes目前较热门的五个话题。

随着企业基于云的数字化转型不断推进,Kubernetes(K8s)的安全防护已受到广泛关注,近日ARMO的首席执行官Shauli Rozen在接受海外媒体采访时重点讨论了Kubernetes目前较热门的五个话题:

1. 与其他平台一样,Kubernetes容易受到网络攻击。是什么驱使网络犯罪分子瞄准 Kubernetes,他们希望获得什么?

Shauli Rozen:这个问题应当从攻击者的角度回答。那么,攻击者在寻找什么?他们正在寻找目标。他们如何选择目标?主要通过两个关键参数进行考量:

  • 高价值目标:随着Kubernetes变得更加主流,被更多公司使用,在更多环境中,它被部署在具有高价值信息的地方,它不再只是某个局部的小工作负载、测试应用程序或“软件游乐场”,它是在生产环境的核心和极速增长的组织中。
  • 易于攻击:基于Kubernetes的系统容易遭受攻击的最大因素不是底层技术漏洞,而是因为它是新的(技术)。攻击者喜欢新系统,因为组织往往还不知道如何安全地配置这些系统。

除此之外,Kubernetes是一个非常复杂的系统,它通常运行基于微服务的架构,这些架构本质上更复杂,拥有更多的API及不断变化和激增的软件工件——这自然会增加攻击面。

在2021年春季关于Kubernetes安全状况的报告中,RedHat指出,94%的受访者在其 Kubernetes环境中遇到过安全事件。这些事件的主要原因是配置错误和漏洞。这主要是因为在快速采用的同时,K8s仍在不断发展。

2. Kubernetes安全流程是如何构建的?

Shauli Rozen:我的第一个建议是:让了解Kubernetes来龙去脉的人负责这个流程。这听起来微不足道,但情况并非总是如此。基于Kubernetes的环境比以往任何时候都更需要将策略与技术分开,并使安全成为一项工程策略。

然后,该流程应侧重于安全性和操作性两个主要方面。首先,Kubernetes安全态势管理 (KSPM) – 尽早(在CI管道期间)扫描、查找和修复软件漏洞的过程、方法和控制,以防止它们进入生产环境。这里的目标是最小化攻击面,并尽可能地强化K8s环境。其次:运行时保护。在网络攻击发生时(在大多数情况下是在生产期间)检测和预防网络攻击的过程、方法和控制。这里的目标是最大限度地提高K8s环境对网络攻击的弹性。

我看到大多数公司都是从KSPM开始着手的,我认为这是合理的,这种方式做起来更快,缩小了差距,并且对生产环境的影响较小。在查看Kubernetes安全配置并获得指导时,有一些权威组织发布的框架和文档可以使用,目前业界已经开发了几个开源工具,让框架的测试变得更加容易。

3. 云端托管和本地部署Kubernetes之间有什么区别?你会推荐哪一个?为什么?

Shauli Rozen:对于不在公共云中但希望体验云技术和微服务架构优势的组织来说,本地部署Kubernetes是一个不错的选择。这意味着你需要部署自己的Kubernetes系统,管理、配置、更新它的所有方面等。老实说,这并不容易,我已经看到几个组织开始了这个过程,但从未完成它。托管Kubernetes会将大部分负担交给托管供应商,并让组织能够专注于工作负载而不是基础设施。如果没有其他限制因素(例如不使用公共云的安全政策),我个人会选择后者。

4. 保证Kubernetes的安全部署需要哪些基本流程?

Shauli Rozen:作为DevOps和自动化的倡导者,我很难定义组织流程,我将更多地参考CI/CD 流程和所需的自动化,而不是组织流程。任何流程中最重要的部分是将安全需求集成到 CI/CD流程中,并使开发人员和DevOps专业人员可以轻松使用它们。当出现新的安全要求时,应将其添加到中心位置并自动向下推送到CI/CD以帮助开发组织尽早弄清楚该要求对其流程的影响,帮助其不断改变和更新自动化流程来满足新的安全需求。

5. 在不久的将来,我们可以期待Kubernetes安全性的哪些现实改进?

Shauli Rozen:我相信对Kubernetes安全性的最显著影响不是技术性的,而是行为性的,随着Kubernetes变得更加主流,集群的配置将受到更多审查,开发人员、DevOps和架构师将更加意识到他们可能增加的潜在风险到系统。这将导致更少的配置错误,减少攻击面。在技术方面,我期待更多来自Kubernetes SIG安全小组的本地安全控制和指导方针,例如POD安全策略的变化,使其更加可用和友好。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2014-02-21 13:10:00

RSA大会RSA2014大会安全大会

2012-07-23 09:52:31

2009-10-27 09:30:53

VB.NET DLL搜

2023-08-04 11:55:24

2022-04-13 09:58:46

供应链区块链

2012-10-17 10:14:07

物联网云计算

2017-11-19 15:02:53

NLP人工智能自然语言处理

2013-01-05 09:35:26

2015-10-22 10:58:16

哈佛数据营销

2013-03-13 09:20:19

OFCSDN100G网络

2020-02-13 10:03:19

网络安全技术开发

2013-11-28 11:43:54

百度轻应用

2023-04-28 19:31:41

2024-02-27 06:51:53

数据索引数据库

2020-10-15 17:25:39

AI 阿里多媒体

2020-09-28 18:12:47

5G4G网络

2020-09-25 08:00:57

Kubernetes

2018-08-20 08:59:56

2024-02-27 11:14:26

CIOIT领导层管理技术团队
点赞
收藏

51CTO技术栈公众号