Kubernetes 安全是一個複雜的話題。如此 複雜,以至於國家安全局最近發布了一份長達 59 頁的關於 Kubernetes 安全強化的指導文件。然而,當您總結這些建議時,您會發現 Kubernetes 環境中的大多數妥協來源分為三個主要類別:供應鏈風險、惡意行為者威脅和內部威脅。保護 Kubernetes 安全的關鍵是單獨解決每一類威脅。本部落格總結了 NSA 在 Kubernetes 背景下管理這些風險的建議,並為您提供實用的實作工具。
了解妥協的根源
根據 NSA 的說法,上述三種類型的威脅是 Kubernetes 環境最常見的危害源,原因如下:
- 供應鏈風險:未經授權存取構成容器系統 的任何元素。這可能包括來自第三方供應商和軟體的風險,這些風險可能使攻擊者能夠在容 英國手機號碼數據 器層級或基礎設施層級或兩者上危害 Kubernetes 叢集。
- 惡意行為者:惡意行為者積極尋求利用 Kubernetes 複雜基礎架構內的安全漏洞或不安全設定。
- 內部威脅:有權存取 Kubernetes 資源的管理員、使用者和基礎設施提供者可能會濫用其特權,尤其是在缺乏嚴格的存取控制的情況下。
管理 Kubernetes 安全風險
透過正確的工具和流程,所有這些安全風險都可以管理。本部落格詳細介紹了 NSA 的主要安全建議,以及如何使用SecureApp CN等工具審查和修復這些建議的提示。
掃描容器和 Pod
Kubernetes 中部署的容器和 Pod 可能包含在建置週期中引入的惡意程式碼。它們也可能受到不安全配置的影響,例如對主機資源的根級存取。如果部署到生產中,不安全的容器允許攻擊者從供應鏈中破壞 Kubernetes。防禦此類風險相對簡單:您可以在部署基於容器鏡像之前以及運行時持續 掃描容器鏡像(後者是為了檢測初始部署後可能已定義的任何新漏洞)。
對容器和 Pod 強制執行最小權限
使用盡可能少的權限運行容器和 Pod,可以確 台灣新聞 保在發生安全漏洞時,受感染的容器或 Pod 感染其他 Pod 的能力最小。給定工作負載的正確存取配置將根據其要求而有所不同。但是,團隊可以使用 SecureCN 等工具簡化容器和 Pod 安全性配置,從而可以根據工作負載需求 定義不同類型的 Pod 安全性設定設定檔。
使用網路分離
在網路上隔離 Kubernetes 資源是強化 Kubernetes 叢集的另一個重要步驟。它最大限度地減少了違規行為從一種資源升級到環境其他部分的可能性。您可以透過遵循微分段原則來強制隔離。這是一個很棒的博客,深入研究了雲端原生應用程式的微分段的細節。下面,我們將展示 SecureApp CN 如何利用 Istio 和 Envoy 代理程式來實現微分段。
使用防火牆控製網路威脅
微分段對於隔離 Kubernetes 內網路層級的工作負載非 目錄 常有用。但是,您還應該保護工作負載免受公共 Internet 的影響,除非它們需要面向公眾。為此,您可以利用防火牆工具以及雲端中的 IAM 框架。
加倍認證和授權
預設情況下,Kubernetes API 需要對許多請求進行身份驗證和授權,但這種保護通常是不夠的。您可以使用 SecureApp CN 等工具來為叢集之間的通訊 實施驗證和授權策略,從而獲得額外的保護層。
使用日誌記錄和審核
Kubernetes 的許多元件都會產生日誌,您可以使用這些日誌來偵測可疑活動。 Kubernetes 還提供審核日誌記錄功能,用於追蹤對 API 的請求。利用這兩個來源來洞察潛在的 Kubernetes 安全風險至關重要。