随着基于云的企业数字化转型的不断推进,Kubernetes(K8s)最近,安全防护引起了广泛关注ARMO首席执行官Shauli Rozen在接受海外媒体采访时,重点讨论Kubernetes五个热门话题:
1. 和其他平台一样,Kubernetes什么驱使网络犯罪分子瞄准 Kubernetes,他们想要什么?
Shauli Rozen:这个问题应该从攻击者的角度来回答。那么,攻击者在寻找什么呢?他们正在寻找目标。他们如何选择目标?主要考虑两个关键参数:
- 高价值目标:随着Kubernetes它变得更加主流,被更多的公司使用。在更多的环境中,它部署在一个信息价值高的地方。它不再仅仅是局部的小工作负荷、测试应用程序或“软件游乐场”,它是生产环境和快速增长组织的核心。
- 易攻击:基础Kubernetes容易攻击的最大因素不是底层技术漏洞,而是因为它是新的(技术)。攻击者喜欢新系统,因为组织往往不知道如何安全地配置它们。
除此之外,Kubernetes它是一个非常复杂的系统,通常运行基于微服务的架构,本质上更复杂,更多API软件工件和变化和激增——这自然会增加攻击面。
2021年春季关于Kubernetes在安全报告中,RedHat指出其 Kubernetes安全事件发生在环境中。这些事件的主要原因是配置错误和漏洞。这主要是因为在快速使用的同时,K8s不断发展。
2.Kubernetes如何构建安全过程?
Shauli Rozen:我的第一个建议是:让了解Kubernetes来龙去脉的人负责这个过程。听起来微不足道,但情况并非总是如此。Kubernetes环境比以往任何时候都更需要将战略和技术分开,使安全成为工程战略。
然后,这个过程应该集中在安全性和可操作性上。Kubernetes安全态势管理 (KSPM) –尽快(在CI扫描、搜索和修复软件漏洞的过程、方法和控制,以防止它们进入生产环境。这里的目标是最小化攻击面,并尽可能加强K8s环境。其次:运行时的保护。检测和预防网络攻击的过程、方法和控制(在大多数情况下)。这里的目标是最大限度地提高K8s网络攻击的环境弹性。
我看到大多数公司都是从KSPM我认为这是合理的。这样做得更快,缩小了差距,对生产环境的影响也更小。正在检查中Kubernetes当安全配置和指导时,可以使用一些权威机构发布的框架和文档。目前,该行业已经开发了几种开源工具,使框架测试更容易。
3.云托管和本地部署Kubernetes两者有什么区别?你会推荐哪一个?为什么?
Shauli Rozen:对于不在公共云中但希望体验云技术和微服务架构优势的组织,本地部署Kubernetes这是个不错的选择。这意味着你需要自己部署Kubernetes系统、管理、配置、更新等。说实话,这并不容易。我看到几个组织开始了这个过程,但从未完成过。Kubernetes它将把大部分负担交给托管供应商,使组织能够专注于工作负荷而不是基础设施。如果没有其他限制(如不使用公共云安全政策),我个人会选择后者。
4. 保证Kubernetes安全部署需要哪些基本流程?
Shauli Rozen:作为DevOps我很难定义组织过程和自动化倡导者,我会参考更多CI/CD 流程和所需的自动化,而不是组织流程。任何流程中最重要的部分是将安全需求集成到 CI/CD在这个过程中,开发人员和DevOps专业人士可以很容易地使用它们。当出现新的安全要求时,应将其添加到中心,并自动向下推CI/CD帮助开发组织尽快了解要求对流程的影响,帮助其不断改变和更新自动化流程,以满足新的安全需求。
5. 我们可以期待在不久的将来Kubernetes安全性的实际改进是什么?
Shauli Rozen:我相信对Kubernetes最显著的安全影响不是技术性的,而是行为性的。Kubernetes开发人员、DevOps和架构师将更好地意识到他们对系统可能增加的潜在风险。这将导致更少的配置错误面。在技术方面,我期待着更多Kubernetes SIG安全小组的地方安全控制和指导方针,如POD安全策略的变化使其更加可用和友好。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章