< 返回

了解Kubernetes安全VS應用程序安全最佳實踐

2023-05-04 13:58 作者:joseph wu 閱讀量:1868

Kubernetes是一個使用 Kubernetes 集群大規(guī)模管理和部署容器的開源平臺,已成為企業(yè)基礎(chǔ)設施的基石。這種流行度的增長也意味著 Kubernetes 也成為了攻擊者的高價值目標。基于 Kubernetes 的漏洞利用,例如Tesla 的 Cryptojacking 攻擊和Siloscape 惡意軟件,無可否認地表明了這一現(xiàn)實。由于 Kubernetes 現(xiàn)在是企業(yè)應用程序基礎(chǔ)設施的基本組成部分,也是黑客的常見攻擊點,因此保護 K8s 部署必須成為企業(yè)的重中之重。

Kubernetes 安全 VS 應用程序安全最佳實踐

在許多情況下,Kubernetes 安全最佳實踐與一般網(wǎng)絡和應用程序安全最佳實踐保持一致。例如,靜態(tài)和傳輸數(shù)據(jù)的加密是任何生產(chǎn)環(huán)境(K8s 或其他)中的賭注。同樣,必須正確處理密碼和 API 密鑰等敏感數(shù)據(jù)。在大多數(shù)情況下,企業(yè) DevSecOps 團隊都知道這些基本的最佳實踐,并且很好地利用了它們。在這里,我們將超越基礎(chǔ)知識,看看 7 個 Kubernetes 安全最佳實踐,它們可以將企業(yè)安全提升到一個新的水平。

#1。將 K8s 狀態(tài)管理和可見性放在首位

在高層次上,K8s 狀態(tài)管理和可見性是關(guān)于能夠有效地做兩件事:

  • 安全地配置所有 K8s 集群和容器工作負載。
  • 對企業(yè)內(nèi)的所有工作負載和配置具有持續(xù)的粒度可見性。

當然,實現(xiàn)這些目標說起來容易做起來難,尤其是在多云環(huán)境中。那么,企業(yè)安全團隊具體可以做什么來優(yōu)化他們的 Kubernetes 安全態(tài)勢和可見性?我們將在以下最佳實踐中介紹其中的許多步驟。但是,先決條件是組織認同,以便在整個企業(yè)中優(yōu)先考慮 K8s 安全性。

以下是企業(yè)可以采取的一些最有影響力的步驟,以開始他們在高水平上提高 K8s 安全性的旅程。

  • 使用行業(yè)最佳實踐強制配置 Kubernetes 集群:雖然每個部署都有細微差別,但所有企業(yè)都可以參考定義明確的容器安全標準來強化其 K8s 集群和容器工作負載。例如,NIST 800-190 應用程序容器安全指南 ( PDF ) 和CIS 基準提供專家指導,是企業(yè)可以遵循的優(yōu)秀基準。利用這些標準可以大大改善整體企業(yè)安全態(tài)勢。
  • “左移”和自動化:手動配置是疏忽和人為錯誤的秘訣。“左移安全”,即在開發(fā)過程中盡早集成安全的過程,本質(zhì)上有助于限制手動配置并鼓勵安全最佳實踐的自動化。因此,DevSecOps 團隊可以將 Kubernetes 的安全最佳實踐構(gòu)建到 CI/CD 管道中,以確保它們得到一致應用并無縫擴展。
  • 實施微分段:容器和 Kubernetes 集群的微分段有助于在整個企業(yè)基礎(chǔ)架構(gòu)中實施零信任原則,并在發(fā)生違規(guī)時限制橫向移動。因此,跨企業(yè)工作負載實施微分段策略對于優(yōu)化整體安全態(tài)勢至關(guān)重要。
  • 在整個企業(yè)中實施正確的注釋和標簽:Kubernetes 標簽決定了策略和對象的分組方式,甚至工作負載的部署位置。因此,確保在整個企業(yè)集群中使用一致的標簽是保持強大安全態(tài)勢的一個重要方面。同樣,執(zhí)行需要對工作負載進行特定注釋的策略并指定污點和容忍度以限制可以部署工作負載的位置是 DevSecOps 團隊的必要戰(zhàn)術(shù)步驟。
  • 利用持續(xù)監(jiān)控:時間點安全審計、滲透測試和漏洞掃描已經(jīng)不夠了。為了跟上不斷迭代的威脅和網(wǎng)絡邊界,企業(yè)必須持續(xù)監(jiān)控和掃描 K8s 集群中的威脅、入侵和不安全配置。

#2。實施形象保證

容器鏡像是 K8s 工作負載的構(gòu)建塊。不幸的是,不安全的容器鏡像是一種普遍的威脅。例證:2020 年的一項分析發(fā)現(xiàn) Docker Hub 上超過一半的圖像存在嚴重漏洞。因此,確保K8s 集群中使用的圖像是安全的并從可信來源提取是重要的 Kubernetes 安全最佳實踐。

要實施形象保證,企業(yè)應利用安全工具:

  • 在開發(fā)和運行時掃描圖像。
  • 防止部署不符合策略的容器。
  • 解構(gòu)圖像層并掃描圖像中的包和依賴項。
  • 檢查圖像是否存在惡意軟件、漏洞和不安全的配置,例如明文形式的密碼和加密密鑰。

#3。使用準入控制器微調(diào)策略

Kubernetes API 服務器是企業(yè)必須防止不安全或惡意請求的攻擊面。準入控制器是旨在幫助做到這一點的代碼片段。準入控制器在授權(quán)后但在持久化之前對 API 調(diào)用進行操作,因此它們可以幫助防止在出現(xiàn)人為錯誤、配置錯誤或帳戶被盜時對集群進行修改。借助準入控制器,企業(yè)可以定義微調(diào)策略來限制各種操作,包括 pod 更新、圖像部署和角色分配。

#4。使用 WAAP 保護 Web 應用程序和 API

傳統(tǒng)的 Web 應用程序防火墻 (WAF) 和入侵檢測與防御系統(tǒng) (IDS/IPS) 不夠靈活或不夠智能,無法跟上現(xiàn)代 Web 應用程序和 API 面臨的威脅。為應對機器人程序和零日攻擊等威脅,企業(yè)應使用 Web 應用程序和 API 保護 ( WAAP ) 解決方案。

WAAP 在設計時考慮了現(xiàn)代云原生應用程序,并提供以下功能:

  • API 和微服務保護。
  • 內(nèi)置下一代 Web 應用程序防火墻 (NGWAF)。
  • 僵尸程序和 DDoS 保護。
  • 高級速率限制可減少誤報。

#5。使用智能運行時保護解決方案

K8s 安全性最艱難的平衡之一是識別惡意行為并保護工作負載免受實時攻擊,同時限制誤報。為了獲得正確的平衡,企業(yè)需要使用多個數(shù)據(jù)點來識別和減輕威脅的智能解決方案。這需要一種三管齊下的運行時保護方法,包括:

  • 運行時分析:每個 K8s 集群都是不同的,性能基線對于檢測惡意行為很重要。現(xiàn)代運行時保護解決方案執(zhí)行運行時分析,以建立網(wǎng)絡流、文件系統(tǒng)活動和運行進程的正常行為基線。這些基線可以幫助威脅檢測引擎根據(jù)上下文檢測和緩解潛在威脅,改善整體安全狀況并限制誤報。
  • 惡意行為簽名檢測:一個強大的已知惡意行為數(shù)據(jù)庫使安全工具能夠快速準確地檢測常見威脅。通過將觀察到的行為與簽名數(shù)據(jù)庫進行比較,可以在眾所周知的威脅有機會破壞網(wǎng)絡之前將其遏制。
  • 反惡意軟件引擎:智能反惡意軟件引擎和在運行時持續(xù)掃描工作負載是運行時保護的關(guān)鍵組件。反惡意軟件引擎是運行時安全的主力,企業(yè)應持續(xù)掃描所有工作負載以盡快檢測威脅。

#6。投資現(xiàn)代 K8s 入侵防護

多年來,IPS/IDS 技術(shù)一直是企業(yè)安全的重要組成部分,而且隨著容器和 Kubernetes 的興起,這一點也沒有改變。從根本上說,檢測可疑行為并標記或阻止它的工具將始終是企業(yè)安全的基石。發(fā)生變化的是 IPS/IDS 必須保護的資產(chǎn)的動態(tài)特性以及現(xiàn)代企業(yè)面臨的威脅。

適用于 Kubernetes 的現(xiàn)代入侵保護解決方案需要能夠執(zhí)行以下功能:

  • 來自 K8s pod 的內(nèi)部端口掃描。
  • 分析與帳戶、應用程序流量和 K8s 集群操作相關(guān)的數(shù)據(jù)。
  • 檢測加密挖掘等現(xiàn)代威脅。

此外,現(xiàn)代 IPS/IDS 需要在多云環(huán)境中運行,以保護部署在任何地方的 K8s 集群。

#7。強調(diào)可視化和定期報告

要了解其安全狀況的當前狀態(tài),企業(yè)必須能夠訪問占其整個應用程序基礎(chǔ)架構(gòu)的最新報告和可視化(例如儀表板)。沒有一套適合所有企業(yè)需要的 KPI 和報告,因此定制是有效解決方案的一個重要方面。然而,任何企業(yè)級 K8s 安全可視化和報告解決方案都應該包括來自所有云的聚合數(shù)據(jù)、向下鉆取以顯示更精細細節(jié)的能力,以及資產(chǎn)和警報的單一管理平臺概覽。

在評估可視化和報告工具時,不要忽視儀表板和高級概覽的重要性。許多報告工具面臨的最大挑戰(zhàn)之一是信息過載和缺乏清晰度。信息太多,以至于在企業(yè)層面變得不連貫。通過正確的高級可視化和報告,企業(yè)可以快速有效地評估其整體容器安全狀況,并了解他們需要首先關(guān)注哪些發(fā)現(xiàn)。

聯(lián)系我們
返回頂部 主站蜘蛛池模板: 国产精品亚洲高清一区二区| 亚洲国产精品一区二区第四页| 国产成人高清视频一区二区| 日韩视频一区二区三区| 成人免费视频一区| 午夜福利av无码一区二区| 国产精品成人一区无码 | 亚洲国产一区二区三区青草影视 | 麻豆一区二区三区蜜桃免费| 97精品国产一区二区三区 | 精品国产一区二区三区AV | 中文字幕一区精品| 亚洲香蕉久久一区二区| 蜜桃传媒视频麻豆第一区| 国产精品 一区 在线| 老湿机一区午夜精品免费福利| 亚洲日本va一区二区三区| 亚洲一区精彩视频| 中文字幕乱码人妻一区二区三区| 精品人妻系列无码一区二区三区 | 麻豆AV一区二区三区久久| 亚洲一区二区电影| 一区二区视频在线观看| 国产福利微拍精品一区二区| 无码人妻一区二区三区兔费 | 国产在线无码视频一区二区三区 | 人妻aⅴ无码一区二区三区| 国产一区二区三区在线视頻 | 一区二区三区免费精品视频| 国产人妖视频一区在线观看| 国产91一区二区在线播放不卡| 国产综合一区二区在线观看| 亚洲爆乳精品无码一区二区三区| 日本片免费观看一区二区| 免费高清在线影片一区| 黄桃AV无码免费一区二区三区| 一区二区三区人妻无码| 亚洲美女视频一区| 国产精品盗摄一区二区在线| 久久久久国产一区二区三区| 无码精品一区二区三区免费视频|