您现在的位置是:首页 > 信息频道 > 要闻 >

保持库贝涅斯规模安全的3个技巧

2020-02-14 11:55:44

Kubernetes容器现在在多云环境中非常流行,并被广泛部署到各种行业中。在去年的一项调查中,Sumo Logic负责产品营销的副总裁Kalyan Ramanathan写道,开源的容器操作系统“正在极大地重塑现代应用程序堆栈的未来”。

Kubernetes在2019年11月举办的“KubeCon 2019”会议吸引了逾1.2万人,约400名与会者报告称,他们的公司计划在未来6个月内运营至少50个生产集群。

看:什么是Kubernetes?(免费PDF) (TechRepublic)

但随着应用范围的扩大,安全问题也随之而来,在2019年全年,一系列安全漏洞的发现引起了人们的关注。第一个是在2018年底发现的,它涉及一个特权升级漏洞,允许任何用户通过Kubernetes应用程序编程接口服务器建立到后端服务器的连接。

许多公司,比如Capital One和沃尔玛,利用这次会议宣传他们的目标,并在寻找库贝涅斯培训过的人才时与专家会面。平台产品营销主管Kamesh Pemmaraju表示,集群和节点的数量正在增加,一些受访者告诉平台,他们的公司仅在一两个集群中运行了数百个节点。调查还强调了一个事实,即许多公司都在本地和公共云基础设施上运行Kubernetes。

NeuVector首席技术官Gary Duan和Platform9的联合创始人兼首席技术官Roopak Parikh向TechRepublic讲述了三种大规模利用库贝内特安全能力的方法。

“Kubernetes有一些基本的安全功能——主要是保护自己的基础设施。其中包括基于角色的访问控制(RBACs)、机密管理和pod安全策略(更侧重于资源管理)。

但是,Kubernetes不应该部署在业务关键的环境中,或者部署在没有专用容器安全工具管理敏感数据的应用程序中。正如我们在过去一年所看到的,Kubernetes系统的容器本身——比如关键的api服务器——可能存在漏洞,使攻击者能够破坏编排基础设施本身,”他补充说。

参见:部署容器:六个关键概念(免费PDF) (TechRepublic Premium)

Parikh表示,他在Platform9的团队发现,与去年相比,生产应用程序增加了很多,库柏内兹上部署的数据或其他应用程序也增加了很多。公司应该把Kubernetes看作是一个复杂的分布式系统,它由多个组件组成,在投入生产时需要保护每一层。

“在应用程序级别,我们强烈建议引入网络策略,并将Kubernetes集群连接到企业内部的身份验证提供者,即在一个目录或一个登录上。很多时候我们看到的是,你可以安全的所有系统所有你想要的,但也是很重要的安全钥匙,如您所使用的密码,和多因素身份验证和使用证书来确保人们无法通过这些简单的门,”帕里克说在一次采访中说。

“和往常一样,安全是多层次的。有基于角色的访问控制、网络策略和其他一些。当您的应用程序正在运行时,您如何以及在何处存储一些秘密?如果您的应用程序需要访问数据库,则应用程序需要使用存储数据库的凭据连接到数据库。”

Kubernetes运营商应确保用户具有正确的角色,并将用户分配到不同的空间,以便特定的用户与特定的应用程序相关联。随着系统的部署和升级,这些角色也将是可伸缩的,Parikh补充说。

参见:安全响应策略(TechRepublic Premium)

通常,集群中的每个应用程序都应该被隔离或隔离,以便负责人可以决定哪些用户可以看到系统的不同部分。

段指出,分层的安全方法最适合深入防御。Duan说,应该部署云本地安全工具来保护从CI/CD管道到运行时的整个生命周期,因为传统的安全工具在Kubernetes环境中不起作用。

这从构建和注册时的漏洞扫描开始,然后进入生产。真正的深度防御是不可能没有深刻的网络可视性和保护,如与第7层容器防火墙。这样一个container-focused防火墙能够检测和防止网络攻击,探针、扫描、粉刺,使用容器微营销的技术和容器之间的横向运动,“段补充说,随着公司扩大他们的部署,他们面临着管理和保护的管理头痛数十甚至数百或单独的Kubernetes集群,在公共和私有云。

他说,让全球多集群管理和集中执行的联合全球安全策略成为一个关键问题。

“在Kubernetes上叠加一个服务网,如Istio或Linkerd,也可以通过加密点对点通信来提高安全性。服务网格还有其他让DevOps团队感到兴奋的优点。但是,这又一次将额外的攻击面引入了必须保护的基础设施,”段说道。

帕里克说,监控代码对库贝内特的安全至关重要。如果您的公司正在运行第三方应用程序甚至内部应用程序,您如何知道那里的代码是否安全?系统操作员应该问问自己运行的是什么版本,存在哪些安全漏洞。

“你可能想要扫描它,看看是否有一个不安全的代码,或者你是否在使用一个较老版本的Python库。有一些工具可以帮助你找到这些细节,并给你一个报告。基于此,您可以拒绝或允许以包容的形式运行这些应用程序,”Parikh指出。

Duan回应了这些评论,并补充说Kubernetes最终提供的自动化机制应该被安全工具所利用。

公司可以将安全策略声明为代码,其中正在部署的新服务的应用程序行为捕获在一个标准的yaml文件中,并由Kubernetes本地部署为自定义资源定义。安全团队还必须确保所有补丁都是最新的。

“对于你正在运行的服务器和操作系统,你需要确保它已经打了补丁,而且没有任何与操作系统本身相关的漏洞。你使用的是像App Armor这样的技术,或者确保你给运行在Kubernetes外部以及Kubernetes本身的组件最少的特权,”帕里克说。

“你需要确保你安装的每个组件都打了补丁并且是最新的。”

Duan说,关键是要定义管道中所有应该实现安全自动化的集成点,然后构建一个完整的安全自动化路线图。最初,一些步骤可能是自动化的,例如触发漏洞扫描和对可疑网络活动发出警报。

根据Parikh的说法,安全团队需要保护可以使用负载平衡器连接到外部世界的应用程序,或者可以在Kubernetes集群本身上打开的端口。团队需要检查它们是否配置正确,以及它们是否通过正确的安全网格公开它们。

对于外部世界的API服务器来说,这尤其关键。Parikh说,在Platform9客户的日志中,他们看到很多服务都在试图弄清楚他们是否在运行PHP。

“有人发现一些东西被其他公司暴露在互联网上,我们在日志中看到一些人试图探查我们的服务器,看看那些端口是否打开了,因为不安全的端口是打开的。Kubernetes本身就有一个API服务器,在过去我们看到过暴露的端口,”Parikh说。

“您正在保护您的主机策略以确保运行了正确的防火墙吗?”如果您在公共云中运行,请确保使用正确的安全组,并且只允许您需要的实际操作。您是否确保Kubernetes组件具有正确的身份验证或授权,以便只有一些用户能够登录?”

通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强组织的IT安全防御。星期二和星期四送货

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

热点推荐

点击排行

  • · 尽管大肆宣传Rimac拒绝制造SUV

    尽管大肆宣传Rimac拒绝制造SUVRimac永远不会制造SUV。根据MateRimac的说法,就像从来没有一样。尽管制造SUV是充实银行账户的可靠方式,但这家EV超级跑车制造商甚至根本不

  • · 交易:B&H推出混合LG Watch G7...

    交易:B&H推出混合LG Watch G7 售价190美元 折扣53%或210美元去年十月,LG Watch W7亮相。该设备被认为是混合智能手表,因为它结合了机械手和数字功能。例如,时计在Wear OS上运行,包括气压计,秒

  • · 斯巴鲁制造了一款名为e-Boxer的混...

    斯巴鲁制造了一款名为e-Boxer的混合动力XV型轿车这是全新的斯巴鲁XVe-Boxer-本质上是一个自我充电混合版本的品牌的粗糙‘n’翻滚交叉-如果你继续阅读后,这一点,我们高度赞扬你的承诺,你知道,汽车。 这并不是说XVe-Boxer将是一款

  • · 新的宝马M8将有三种外形

    新的宝马M8将有三种外形在一个似乎无法获得足够高性能汽车的世界里,还有更多的消息可以让马力的瘾君子远离戒毒所一段时间。因为宝马老板强烈暗示M8将有三种口味:coupe,gran coupe(上面以概念形式预览)

  • · 使用无线电源 在驾驶时为电动汽车充电

    使用无线电源 在驾驶时为电动汽车充电虽然电动汽车的采用通常被认为是绿色交通的重要一步,但许多司机对购买一辆可能在旅行结束前失去动力的车辆持谨慎态度。为了消除这种范围焦虑,斯坦福大学的一个团队设计了一个系统,

  • · 2020年马自达CX-9回顾 当时尚战胜功能

    2020年马自达CX-9回顾 当时尚战胜功能这可能是最好看的三排交叉今天出售。尽管这款马自达CX-9已经上市多年,但它仍然是一款好品味的典范,外观和外观都很漂亮。 研究马自达CX-9|在你身边寻找马自达CX-9 但是,当购买一辆