您现在的位置是:首页 > 新闻频道 > 要闻 >

保持库贝涅斯规模安全的3个技巧

2020-02-14 11:55:44

Kubernetes容器现在在多云环境中非常流行,并被广泛部署到各种行业中。在去年的一项调查中,Sumo Logic负责产品营销的副总裁Kalyan Ramanathan写道,开源的容器操作系统“正在极大地重塑现代应用程序堆栈的未来”。

Kubernetes在2019年11月举办的“KubeCon 2019”会议吸引了逾1.2万人,约400名与会者报告称,他们的公司计划在未来6个月内运营至少50个生产集群。

看:什么是Kubernetes?(免费PDF) (TechRepublic)

但随着应用范围的扩大,安全问题也随之而来,在2019年全年,一系列安全漏洞的发现引起了人们的关注。第一个是在2018年底发现的,它涉及一个特权升级漏洞,允许任何用户通过Kubernetes应用程序编程接口服务器建立到后端服务器的连接。

许多公司,比如Capital One和沃尔玛,利用这次会议宣传他们的目标,并在寻找库贝涅斯培训过的人才时与专家会面。平台产品营销主管Kamesh Pemmaraju表示,集群和节点的数量正在增加,一些受访者告诉平台,他们的公司仅在一两个集群中运行了数百个节点。调查还强调了一个事实,即许多公司都在本地和公共云基础设施上运行Kubernetes。

NeuVector首席技术官Gary Duan和Platform9的联合创始人兼首席技术官Roopak Parikh向TechRepublic讲述了三种大规模利用库贝内特安全能力的方法。

“Kubernetes有一些基本的安全功能——主要是保护自己的基础设施。其中包括基于角色的访问控制(RBACs)、机密管理和pod安全策略(更侧重于资源管理)。

但是,Kubernetes不应该部署在业务关键的环境中,或者部署在没有专用容器安全工具管理敏感数据的应用程序中。正如我们在过去一年所看到的,Kubernetes系统的容器本身——比如关键的api服务器——可能存在漏洞,使攻击者能够破坏编排基础设施本身,”他补充说。

参见:部署容器:六个关键概念(免费PDF) (TechRepublic Premium)

Parikh表示,他在Platform9的团队发现,与去年相比,生产应用程序增加了很多,库柏内兹上部署的数据或其他应用程序也增加了很多。公司应该把Kubernetes看作是一个复杂的分布式系统,它由多个组件组成,在投入生产时需要保护每一层。

“在应用程序级别,我们强烈建议引入网络策略,并将Kubernetes集群连接到企业内部的身份验证提供者,即在一个目录或一个登录上。很多时候我们看到的是,你可以安全的所有系统所有你想要的,但也是很重要的安全钥匙,如您所使用的密码,和多因素身份验证和使用证书来确保人们无法通过这些简单的门,”帕里克说在一次采访中说。

“和往常一样,安全是多层次的。有基于角色的访问控制、网络策略和其他一些。当您的应用程序正在运行时,您如何以及在何处存储一些秘密?如果您的应用程序需要访问数据库,则应用程序需要使用存储数据库的凭据连接到数据库。”

Kubernetes运营商应确保用户具有正确的角色,并将用户分配到不同的空间,以便特定的用户与特定的应用程序相关联。随着系统的部署和升级,这些角色也将是可伸缩的,Parikh补充说。

参见:安全响应策略(TechRepublic Premium)

通常,集群中的每个应用程序都应该被隔离或隔离,以便负责人可以决定哪些用户可以看到系统的不同部分。

段指出,分层的安全方法最适合深入防御。Duan说,应该部署云本地安全工具来保护从CI/CD管道到运行时的整个生命周期,因为传统的安全工具在Kubernetes环境中不起作用。

这从构建和注册时的漏洞扫描开始,然后进入生产。真正的深度防御是不可能没有深刻的网络可视性和保护,如与第7层容器防火墙。这样一个container-focused防火墙能够检测和防止网络攻击,探针、扫描、粉刺,使用容器微营销的技术和容器之间的横向运动,“段补充说,随着公司扩大他们的部署,他们面临着管理和保护的管理头痛数十甚至数百或单独的Kubernetes集群,在公共和私有云。

他说,让全球多集群管理和集中执行的联合全球安全策略成为一个关键问题。

“在Kubernetes上叠加一个服务网,如Istio或Linkerd,也可以通过加密点对点通信来提高安全性。服务网格还有其他让DevOps团队感到兴奋的优点。但是,这又一次将额外的攻击面引入了必须保护的基础设施,”段说道。

帕里克说,监控代码对库贝内特的安全至关重要。如果您的公司正在运行第三方应用程序甚至内部应用程序,您如何知道那里的代码是否安全?系统操作员应该问问自己运行的是什么版本,存在哪些安全漏洞。

“你可能想要扫描它,看看是否有一个不安全的代码,或者你是否在使用一个较老版本的Python库。有一些工具可以帮助你找到这些细节,并给你一个报告。基于此,您可以拒绝或允许以包容的形式运行这些应用程序,”Parikh指出。

Duan回应了这些评论,并补充说Kubernetes最终提供的自动化机制应该被安全工具所利用。

公司可以将安全策略声明为代码,其中正在部署的新服务的应用程序行为捕获在一个标准的yaml文件中,并由Kubernetes本地部署为自定义资源定义。安全团队还必须确保所有补丁都是最新的。

“对于你正在运行的服务器和操作系统,你需要确保它已经打了补丁,而且没有任何与操作系统本身相关的漏洞。你使用的是像App Armor这样的技术,或者确保你给运行在Kubernetes外部以及Kubernetes本身的组件最少的特权,”帕里克说。

“你需要确保你安装的每个组件都打了补丁并且是最新的。”

Duan说,关键是要定义管道中所有应该实现安全自动化的集成点,然后构建一个完整的安全自动化路线图。最初,一些步骤可能是自动化的,例如触发漏洞扫描和对可疑网络活动发出警报。

根据Parikh的说法,安全团队需要保护可以使用负载平衡器连接到外部世界的应用程序,或者可以在Kubernetes集群本身上打开的端口。团队需要检查它们是否配置正确,以及它们是否通过正确的安全网格公开它们。

对于外部世界的API服务器来说,这尤其关键。Parikh说,在Platform9客户的日志中,他们看到很多服务都在试图弄清楚他们是否在运行PHP。

“有人发现一些东西被其他公司暴露在互联网上,我们在日志中看到一些人试图探查我们的服务器,看看那些端口是否打开了,因为不安全的端口是打开的。Kubernetes本身就有一个API服务器,在过去我们看到过暴露的端口,”Parikh说。

“您正在保护您的主机策略以确保运行了正确的防火墙吗?”如果您在公共云中运行,请确保使用正确的安全组,并且只允许您需要的实际操作。您是否确保Kubernetes组件具有正确的身份验证或授权,以便只有一些用户能够登录?”

通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强组织的IT安全防御。星期二和星期四送货

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

热点推荐

点击排行

  • · 如何判断你是否有甲状腺问题

    如何判断你是否有甲状腺问题如果你怀疑自己可能患有甲状腺疾病,去看医生进行检查是很重要的。 如果有一长串不为人知的健康问题,甲状腺问题应该排在首位。高达60%的甲状腺疾病患者甚至不知道自己患有甲状腺疾病

  • · 好未来公布了截至2019年11月30日的...

    好未来公布了截至2019年11月30日的2020财年第三季度未经审计财报北京时间1月21日下午消息,好未来(NYSE:TAL)今日公布了截至2019年11月30日的2020财年第三季度未经审计财报,净营收为8 624亿美元,与上年

  • · 苹果正在修复iOS漏洞 让孩子们轻...

    苹果正在修复iOS漏洞 让孩子们轻松绕过屏幕时间限制苹果本周向公众发布了iOS13 3,其中包括屏幕时间的新通信限制功能。然而,CNBC的一篇新报道解释说,该功能并不完全像它设计的那样工作。 根据设计,屏幕时间的沟通限制是为了让父母

  • · 美国今年的预算赤字预计将超过1万...

    美国今年的预算赤字预计将超过1万亿美元根据一份新的报告,美国预算赤字预计将在2020年超过1万亿美元,尽管经济稳步增长,但政府的支出仍将超过其增长。 无党派的国会预算办公室星期二估计,从10月1号开始的这个财政年度的

  • · 微软泄密称Surface Hub 2X可能已经被取消

    微软泄密称Surface Hub 2X可能已经被取消微软可能会取消即将推出的其先前宣布的Surface Hub2X产品,一个新的泄漏声称。微软悄悄删除了与该模式相关的公告材料,似乎证实了这一报告,尽管该公司尚未完全解释其目的何在。在宣

  • · 可视推出打折的家庭计划 家庭是可选的

    可视推出打折的家庭计划 家庭是可选的抓住任何三个人-朋友、家庭成员、室友、偶然的熟人-从可见中获得巨大的储蓄。 可见是一家Verizon的预付费运营商,提供无限的移动电话服务,每月40美元非常合理。但这是每个人的,如果