您现在的位置是:首页 > 信息频道 > 要闻 >
保持库贝涅斯规模安全的3个技巧
Kubernetes容器现在在多云环境中非常流行,并被广泛部署到各种行业中。在去年的一项调查中,Sumo Logic负责产品营销的副总裁Kalyan Ramanathan写道,开源的容器操作系统“正在极大地重塑现代应用程序堆栈的未来”。
Kubernetes在2019年11月举办的“KubeCon 2019”会议吸引了逾1.2万人,约400名与会者报告称,他们的公司计划在未来6个月内运营至少50个生产集群。
看:什么是Kubernetes?(免费PDF) (TechRepublic)
但随着应用范围的扩大,安全问题也随之而来,在2019年全年,一系列安全漏洞的发现引起了人们的关注。第一个是在2018年底发现的,它涉及一个特权升级漏洞,允许任何用户通过Kubernetes应用程序编程接口服务器建立到后端服务器的连接。
许多公司,比如Capital One和沃尔玛,利用这次会议宣传他们的目标,并在寻找库贝涅斯培训过的人才时与专家会面。平台产品营销主管Kamesh Pemmaraju表示,集群和节点的数量正在增加,一些受访者告诉平台,他们的公司仅在一两个集群中运行了数百个节点。调查还强调了一个事实,即许多公司都在本地和公共云基础设施上运行Kubernetes。
NeuVector首席技术官Gary Duan和Platform9的联合创始人兼首席技术官Roopak Parikh向TechRepublic讲述了三种大规模利用库贝内特安全能力的方法。
“Kubernetes有一些基本的安全功能——主要是保护自己的基础设施。其中包括基于角色的访问控制(RBACs)、机密管理和pod安全策略(更侧重于资源管理)。
但是,Kubernetes不应该部署在业务关键的环境中,或者部署在没有专用容器安全工具管理敏感数据的应用程序中。正如我们在过去一年所看到的,Kubernetes系统的容器本身——比如关键的api服务器——可能存在漏洞,使攻击者能够破坏编排基础设施本身,”他补充说。
参见:部署容器:六个关键概念(免费PDF) (TechRepublic Premium)
Parikh表示,他在Platform9的团队发现,与去年相比,生产应用程序增加了很多,库柏内兹上部署的数据或其他应用程序也增加了很多。公司应该把Kubernetes看作是一个复杂的分布式系统,它由多个组件组成,在投入生产时需要保护每一层。
“在应用程序级别,我们强烈建议引入网络策略,并将Kubernetes集群连接到企业内部的身份验证提供者,即在一个目录或一个登录上。很多时候我们看到的是,你可以安全的所有系统所有你想要的,但也是很重要的安全钥匙,如您所使用的密码,和多因素身份验证和使用证书来确保人们无法通过这些简单的门,”帕里克说在一次采访中说。
“和往常一样,安全是多层次的。有基于角色的访问控制、网络策略和其他一些。当您的应用程序正在运行时,您如何以及在何处存储一些秘密?如果您的应用程序需要访问数据库,则应用程序需要使用存储数据库的凭据连接到数据库。”
Kubernetes运营商应确保用户具有正确的角色,并将用户分配到不同的空间,以便特定的用户与特定的应用程序相关联。随着系统的部署和升级,这些角色也将是可伸缩的,Parikh补充说。
参见:安全响应策略(TechRepublic Premium)
通常,集群中的每个应用程序都应该被隔离或隔离,以便负责人可以决定哪些用户可以看到系统的不同部分。
段指出,分层的安全方法最适合深入防御。Duan说,应该部署云本地安全工具来保护从CI/CD管道到运行时的整个生命周期,因为传统的安全工具在Kubernetes环境中不起作用。
这从构建和注册时的漏洞扫描开始,然后进入生产。真正的深度防御是不可能没有深刻的网络可视性和保护,如与第7层容器防火墙。这样一个container-focused防火墙能够检测和防止网络攻击,探针、扫描、粉刺,使用容器微营销的技术和容器之间的横向运动,“段补充说,随着公司扩大他们的部署,他们面临着管理和保护的管理头痛数十甚至数百或单独的Kubernetes集群,在公共和私有云。
他说,让全球多集群管理和集中执行的联合全球安全策略成为一个关键问题。
“在Kubernetes上叠加一个服务网,如Istio或Linkerd,也可以通过加密点对点通信来提高安全性。服务网格还有其他让DevOps团队感到兴奋的优点。但是,这又一次将额外的攻击面引入了必须保护的基础设施,”段说道。
帕里克说,监控代码对库贝内特的安全至关重要。如果您的公司正在运行第三方应用程序甚至内部应用程序,您如何知道那里的代码是否安全?系统操作员应该问问自己运行的是什么版本,存在哪些安全漏洞。
“你可能想要扫描它,看看是否有一个不安全的代码,或者你是否在使用一个较老版本的Python库。有一些工具可以帮助你找到这些细节,并给你一个报告。基于此,您可以拒绝或允许以包容的形式运行这些应用程序,”Parikh指出。
Duan回应了这些评论,并补充说Kubernetes最终提供的自动化机制应该被安全工具所利用。
公司可以将安全策略声明为代码,其中正在部署的新服务的应用程序行为捕获在一个标准的yaml文件中,并由Kubernetes本地部署为自定义资源定义。安全团队还必须确保所有补丁都是最新的。
“对于你正在运行的服务器和操作系统,你需要确保它已经打了补丁,而且没有任何与操作系统本身相关的漏洞。你使用的是像App Armor这样的技术,或者确保你给运行在Kubernetes外部以及Kubernetes本身的组件最少的特权,”帕里克说。
“你需要确保你安装的每个组件都打了补丁并且是最新的。”
Duan说,关键是要定义管道中所有应该实现安全自动化的集成点,然后构建一个完整的安全自动化路线图。最初,一些步骤可能是自动化的,例如触发漏洞扫描和对可疑网络活动发出警报。
根据Parikh的说法,安全团队需要保护可以使用负载平衡器连接到外部世界的应用程序,或者可以在Kubernetes集群本身上打开的端口。团队需要检查它们是否配置正确,以及它们是否通过正确的安全网格公开它们。
对于外部世界的API服务器来说,这尤其关键。Parikh说,在Platform9客户的日志中,他们看到很多服务都在试图弄清楚他们是否在运行PHP。
“有人发现一些东西被其他公司暴露在互联网上,我们在日志中看到一些人试图探查我们的服务器,看看那些端口是否打开了,因为不安全的端口是打开的。Kubernetes本身就有一个API服务器,在过去我们看到过暴露的端口,”Parikh说。
“您正在保护您的主机策略以确保运行了正确的防火墙吗?”如果您在公共云中运行,请确保使用正确的安全组,并且只允许您需要的实际操作。您是否确保Kubernetes组件具有正确的身份验证或授权,以便只有一些用户能够登录?”
通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强组织的IT安全防御。星期二和星期四送货
热点推荐
- · 尽管大肆宣传Rimac拒绝制造SUV
Rimac永远不会制造SUV。根据MateRimac的说法,就像从来没有一样。尽管制造SUV是充实银行账户的可靠方式,但这家EV超级跑车制造商甚至根本不
- · 全电动梅赛德斯EQSSUV在阿拉巴马州...
对于梅赛德斯-奔驰塔斯卡卢萨工厂的优秀工人来说,有理由庆祝。EQSSUV终于下线了,看起来已经准备好与宝马iX和特斯拉ModelX展开竞争。今年
- · 马自达MX30于2022年售罄但其未来存疑
马自达不会经常出错,但当它犯错时,它会以惊人的方式犯错。它把MX-30弄得一团糟,因此,有几个谣言说它可能在美国上市仅仅一年后就被砍掉
- · Twitter正在空间选项卡中测试播客集成
Twitter不想将其社交音频产品限制在受Clubhouse启发的空间中。该公司还将播客纳入其中。很长一段时间以来,我们一直在听到有关此开发的谣言
- · 三星的所有新品都已经上市销售
最后,三星的所有新品都已经上市销售。这些新产品包括三星GalaxyZFlip4、GalaxyZFold4、GalaxyWatch5、GalaxyWatch5Pro以及最后但并非最不
- · ConfiBlur应用程序可以帮助您隐藏...
那里有大量非常简单但有用的应用程序。ConfiBlur就是其中之一。这个应用程序有一项工作,并且做得很好,至少在我们的测试期间它做得很好。
- · 新专利显示具有透明后显示屏的Gala...
如果您认为您已经看到一些有趣的手机投放市场,那么与我们在智能手机专利中看到的彻头彻尾的外星设计相比,它们根本算不上什么。三星是这些
- · 在Razer游戏PC上节省大笔费用正好...
他们正在削减它有点接近,但作为英特尔玩家日的一部分,亚马逊今天有很多很棒的个人电脑在出售,他们仍然可以及时到达回到学校。所以这里肯
- · 如何将Pixel6a置于深色主题中
有一些关于黑暗主题的东西只会吸引人们。哎呀,您正在阅读本文的网站应用了深色主题。人们只是喜欢黑色或深灰色背景。这就是为什么像Google
- · 如何将Pixel6a置于深色主题中
有一些关于黑暗主题的东西只会吸引人们。哎呀,您正在阅读本文的网站应用了深色主题。人们只是喜欢黑色或深灰色背景。这就是为什么像Google
- · 苹果将广告拓展至 IPHONE/IPAD 新领域
在最新一期的 Power On 中,Bloomberg Mark Gurman 给出了他对苹果的一些预测。他认为,苹果已经准备好将广告扩展到iPhone 和 iPad
- · 在收益超出预期后 沃尔玛坚持下半...
沃尔玛周二表示,销售额增长超过 8%,但由于消费者转向折扣店购买杂货和必需品,第二财季利润收紧。该公司股价上涨约 5%,收于 139 37
- · 带有触控选项的铰链式双屏显示器即...
Mobile Pixels Inc 是一家喜欢为客户提供多种屏幕选项的公司。之前已经生产了很多种(在新标签中打开)为笔记本电脑用户提供扩展和附加屏
- · Linux 中的 Alder Lake 笔记本...
据报道,Linux 对网络摄像头的支持目前已成为第 12 代 Alder Lake 笔记本电脑的主要问题,正如Phoronix 最近的一篇文章所展示的那样
- · AS Watson 集团将在 2030 年前...
健康和美容零售商 AS Watson Group 承诺到 2030 年为全球年轻人提供 200,000 个职位空缺。英国 Superdrug 和 Savers 的所有者
- · NVIDIA宣布推出新的神经图形SDK
NVIDIA宣布推出新的神经图形SDK,以帮助所有人都可以创建元界内容,提供超过10种不同的工具和程序,包括NeuralVDB和KaolinWisp形式的新增功
- · 8月16日前往溜冰场时的Rollerdrome...
PlayStation游戏玩家期待新的快节奏动作血统游戏在溜冰鞋上的到来,Rollerdrome将很高兴得知来自Roll7的JemimaTyssenSmith已经在PlayStatio
- · 欧洲的小米12T和小米12TPro价格和...
小米12T和小米12TPro的假定欧洲价格标签以及其他一些关键细节已经泄露,例如所谓的发布日期时间表。小米12T预计将配备联发科天玑8100处理器
- · Genesis推出G90豪华轿车与高级时装活动
在短短几年内,Genesis已成为欧洲高端品牌的有力竞争者。但是,对于许多人来说,高端子公司缺乏一些东西——正确的形象。然而,这家汽车制
- · 1988年路虎卫士90Restomod拥有Corv...
ECD汽车设计似乎无法将克尔维特发动机推入老式路虎。调谐器使用称为ProjectOverload的3系列路虎卫士做到了这一点,然后在几周前又推出了基
点击排行
- · 尽管大肆宣传Rimac拒绝制造SUV
Rimac永远不会制造SUV。根据MateRimac的说法,就像从来没有一样。尽管制造SUV是充实银行账户的可靠方式,但这家EV超级跑车制造商甚至根本不
- · 交易:B&H推出混合LG Watch G7...
去年十月,LG Watch W7亮相。该设备被认为是混合智能手表,因为它结合了机械手和数字功能。例如,时计在Wear OS上运行,包括气压计,秒
- · 斯巴鲁制造了一款名为e-Boxer的混...
这是全新的斯巴鲁XVe-Boxer-本质上是一个自我充电混合版本的品牌的粗糙‘n’翻滚交叉-如果你继续阅读后,这一点,我们高度赞扬你的承诺,你知道,汽车。 这并不是说XVe-Boxer将是一款
- · 新的宝马M8将有三种外形
在一个似乎无法获得足够高性能汽车的世界里,还有更多的消息可以让马力的瘾君子远离戒毒所一段时间。因为宝马老板强烈暗示M8将有三种口味:coupe,gran coupe(上面以概念形式预览)
- · 使用无线电源 在驾驶时为电动汽车充电
虽然电动汽车的采用通常被认为是绿色交通的重要一步,但许多司机对购买一辆可能在旅行结束前失去动力的车辆持谨慎态度。为了消除这种范围焦虑,斯坦福大学的一个团队设计了一个系统,
- · 2020年马自达CX-9回顾 当时尚战胜功能
这可能是最好看的三排交叉今天出售。尽管这款马自达CX-9已经上市多年,但它仍然是一款好品味的典范,外观和外观都很漂亮。 研究马自达CX-9|在你身边寻找马自达CX-9 但是,当购买一辆