Kubernetes是一個使用 Kubernetes 集群大規(guī)模管理和部署容器的開源平臺,已成為企業(yè)基礎(chǔ)設施的基石。這種流行度的增長也意味著 Kubernetes 也成為了攻擊者的高價值目標。基于 Kubernetes 的漏洞利用,例如Tesla 的 Cryptojacking 攻擊和Siloscape 惡意軟件,無可否認地表明了這一現(xiàn)實。由于 Kubernetes 現(xiàn)在是企業(yè)應用程序基礎(chǔ)設施的基本組成部分,也是黑客的常見攻擊點,因此保護 K8s 部署必須成為企業(yè)的重中之重。
在許多情況下,Kubernetes 安全最佳實踐與一般網(wǎng)絡和應用程序安全最佳實踐保持一致。例如,靜態(tài)和傳輸數(shù)據(jù)的加密是任何生產(chǎn)環(huán)境(K8s 或其他)中的賭注。同樣,必須正確處理密碼和 API 密鑰等敏感數(shù)據(jù)。在大多數(shù)情況下,企業(yè) DevSecOps 團隊都知道這些基本的最佳實踐,并且很好地利用了它們。在這里,我們將超越基礎(chǔ)知識,看看 7 個 Kubernetes 安全最佳實踐,它們可以將企業(yè)安全提升到一個新的水平。
#1。將 K8s 狀態(tài)管理和可見性放在首位
在高層次上,K8s 狀態(tài)管理和可見性是關(guān)于能夠有效地做兩件事:
當然,實現(xiàn)這些目標說起來容易做起來難,尤其是在多云環(huán)境中。那么,企業(yè)安全團隊具體可以做什么來優(yōu)化他們的 Kubernetes 安全態(tài)勢和可見性?我們將在以下最佳實踐中介紹其中的許多步驟。但是,先決條件是組織認同,以便在整個企業(yè)中優(yōu)先考慮 K8s 安全性。
以下是企業(yè)可以采取的一些最有影響力的步驟,以開始他們在高水平上提高 K8s 安全性的旅程。
#2。實施形象保證
容器鏡像是 K8s 工作負載的構(gòu)建塊。不幸的是,不安全的容器鏡像是一種普遍的威脅。例證:2020 年的一項分析發(fā)現(xiàn) Docker Hub 上超過一半的圖像存在嚴重漏洞。因此,確保K8s 集群中使用的圖像是安全的并從可信來源提取是重要的 Kubernetes 安全最佳實踐。
要實施形象保證,企業(yè)應利用安全工具:
#3。使用準入控制器微調(diào)策略
Kubernetes API 服務器是企業(yè)必須防止不安全或惡意請求的攻擊面。準入控制器是旨在幫助做到這一點的代碼片段。準入控制器在授權(quán)后但在持久化之前對 API 調(diào)用進行操作,因此它們可以幫助防止在出現(xiàn)人為錯誤、配置錯誤或帳戶被盜時對集群進行修改。借助準入控制器,企業(yè)可以定義微調(diào)策略來限制各種操作,包括 pod 更新、圖像部署和角色分配。
#4。使用 WAAP 保護 Web 應用程序和 API
傳統(tǒng)的 Web 應用程序防火墻 (WAF) 和入侵檢測與防御系統(tǒng) (IDS/IPS) 不夠靈活或不夠智能,無法跟上現(xiàn)代 Web 應用程序和 API 面臨的威脅。為應對機器人程序和零日攻擊等威脅,企業(yè)應使用 Web 應用程序和 API 保護 ( WAAP ) 解決方案。
WAAP 在設計時考慮了現(xiàn)代云原生應用程序,并提供以下功能:
#5。使用智能運行時保護解決方案
K8s 安全性最艱難的平衡之一是識別惡意行為并保護工作負載免受實時攻擊,同時限制誤報。為了獲得正確的平衡,企業(yè)需要使用多個數(shù)據(jù)點來識別和減輕威脅的智能解決方案。這需要一種三管齊下的運行時保護方法,包括:
#6。投資現(xiàn)代 K8s 入侵防護
多年來,IPS/IDS 技術(shù)一直是企業(yè)安全的重要組成部分,而且隨著容器和 Kubernetes 的興起,這一點也沒有改變。從根本上說,檢測可疑行為并標記或阻止它的工具將始終是企業(yè)安全的基石。發(fā)生變化的是 IPS/IDS 必須保護的資產(chǎn)的動態(tài)特性以及現(xiàn)代企業(yè)面臨的威脅。
適用于 Kubernetes 的現(xiàn)代入侵保護解決方案需要能夠執(zhí)行以下功能:
此外,現(xiàn)代 IPS/IDS 需要在多云環(huán)境中運行,以保護部署在任何地方的 K8s 集群。
#7。強調(diào)可視化和定期報告
要了解其安全狀況的當前狀態(tài),企業(yè)必須能夠訪問占其整個應用程序基礎(chǔ)架構(gòu)的最新報告和可視化(例如儀表板)。沒有一套適合所有企業(yè)需要的 KPI 和報告,因此定制是有效解決方案的一個重要方面。然而,任何企業(yè)級 K8s 安全可視化和報告解決方案都應該包括來自所有云的聚合數(shù)據(jù)、向下鉆取以顯示更精細細節(jié)的能力,以及資產(chǎn)和警報的單一管理平臺概覽。
在評估可視化和報告工具時,不要忽視儀表板和高級概覽的重要性。許多報告工具面臨的最大挑戰(zhàn)之一是信息過載和缺乏清晰度。信息太多,以至于在企業(yè)層面變得不連貫。通過正確的高級可視化和報告,企業(yè)可以快速有效地評估其整體容器安全狀況,并了解他們需要首先關(guān)注哪些發(fā)現(xiàn)。