標籤: 手机号码数据

Kubernetes 安全是一個複雜的話題。如此  複雜，以至於國家安全局最近發布了一份長達 59 頁的關於 Kubernetes 安全強化的指導文件。然而，當您總結這些建議時，您會發現 Kubernetes 環境中的大多數妥協來源分為三個主要類別：供應鏈風險、惡意行為者威脅和內部威脅。保護 Kubernetes 安全的關鍵是單獨解決每一類威脅。本部落格總結了 NSA 在 Kubernetes 背景下管理這些風險的建議，並為您提供實用的實作工具。   

了解妥協的根源

根據 NSA 的說法，上述三種類型的威脅是 Kubernetes 環境最常見的危害源，原因如下：

• 供應鏈風險：未經授權存取構成容器系統 的任何元素。這可能包括來自第三方供應商和軟體的風險，這些風險可能使攻擊者能夠在容 英國手機號碼數據 器層級或基礎設施層級或兩者上危害 Kubernetes 叢集。
• 惡意行為者：惡意行為者積極尋求利用 Kubernetes 複雜基礎架構內的安全漏洞或不安全設定。
• 內部威脅：有權存取 Kubernetes 資源的管理員、使用者和基礎設施提供者可能會濫用其特權，尤其是在缺乏嚴格的存取控制的情況下。

管理 Kubernetes 安全風險

透過正確的工具和流程，所有這些安全風險都可以管理。本部落格詳細介紹了 NSA 的主要安全建議，以及如何使用SecureApp CN等工具審查和修復這些建議的提示。  

掃描容器和 Pod

Kubernetes 中部署的容器和 Pod 可能包含在建置週期中引入的惡意程式碼。它們也可能受到不安全配置的影響，例如對主機資源的根級存取。如果部署到生產中，不安全的容器允許攻擊者從供應鏈中破壞 Kubernetes。防禦此類風險相對簡單：您可以在部署基於容器鏡像之前以及運行時持續 掃描容器鏡像（後者是為了檢測初始部署後可能已定義的任何新漏洞）。  

對容器和 Pod 強制執行最小權限

使用盡可能少的權限運行容器和 Pod，可以確 台灣新聞 保在發生安全漏洞時，受感染的容器或 Pod 感染其他 Pod 的能力最小。給定工作負載的正確存取配置將根據其要求而有所不同。但是，團隊可以使用 SecureCN 等工具簡化容器和 Pod 安全性配置，從而可以根據工作負載需求 定義不同類型的 Pod 安全性設定設定檔。  

使用網路分離

在網路上隔離 Kubernetes 資源是強化 Kubernetes 叢集的另一個重要步驟。它最大限度地減少了違規行為從一種資源升級到環境其他部分的可能性。您可以透過遵循微分段原則來強制隔離。這是一個很棒的博客，深入研究了雲端原生應用程式的微分段的細節。下面，我們將展示 SecureApp CN 如何利用 Istio 和 Envoy 代理程式來實現微分段。   

使用防火牆控製網路威脅

微分段對於隔離 Kubernetes 內網路層級的工作負載非 目錄 常有用。但是，您還應該保護工作負載免受公共 Internet 的影響，除非它們需要面向公眾。為此，您可以利用防火牆工具以及雲端中的 IAM 框架。

加倍認證和授權

預設情況下，Kubernetes API 需要對許多請求進行身份驗證和授權，但這種保護通常是不夠的。您可以使用 SecureApp CN 等工具來為叢集之間的通訊 實施驗證和授權策略，從而獲得額外的保護層。  

使用日誌記錄和審核

Kubernetes 的許多元件都會產生日誌，您可以使用這些日誌來偵測可疑活動。 Kubernetes 還提供審核日誌記錄功能，用於追蹤對 API 的請求。利用這兩個來源來洞察潛在的 Kubernetes 安全風險至關重要。   

 

軟體應用程式已成為現代商業世界實現成長和獲利的關鍵驅動力。這就是為什麼應用程式效能對於業務利害關係人變得更加重要，IT 團隊已將重點轉移到確保應用程式能夠持續滿足消費者的期望。在這篇文章中，我們概述了為什麼需要稱為綜合監控的主動監控技術，並解釋它可以為您做些什麼。

綜合監控：概述

應用程式效能監控 (APM) 概述了一組工具和實踐，用於識別錯誤和漏洞、增強使用者體驗並確保運算環境符合商定的效能標準。 

綜合監控 (SM)是一種主動監 阿聯酋電話號碼數據 控技術，遵循 APM 方法來模擬使用者存取應用程式時所採用的路徑。 IT 團隊使用此技術來深入了解應用程式的正常運作時間、常見使用者存取模式以及應用程式中的事務效能。讓我們探討綜合監控的基礎知識及其對現代軟體團隊的意義。

綜合監控：它是什麼以及它如何運作

組織使用綜合監控來確定應用程式的可用性、回 台灣新聞 應速度、事務效能、成本效益和故障點。 SM 依賴透過公共網路實體與應用程式互動的機器或檢查點。這些機器就像普通用戶一樣向應用程式發出模擬指令。這些指令包含在定期發送的腳本中，以提供一致的可用性和效能資訊流。 

綜合監控腳本從靠近使用者的電腦發送，以準確了 目錄 解應用程式的效能。團隊經常在不同位置的多台伺服器上部署檢查點，以更好地評估應用程式的全域回應能力和可用性。綜合監測的典型工作流程如下：

1. APM系統選擇一個檢查點來執行模擬存取功能，並將腳本傳送到選定的檢查點。
2. 然後，檢查點嘗試聯繫目標應用程式、檢查回應、發送指令並繼續，具體取決於 APM 系統所需的檢查。
3. 檢查點將檢查結果傳回APM系統。
4. 如果檢查通過，APM 會在報告中記錄資訊。
5. 如果應用程式未通過檢查，APM 將透過另一個檢查點發送新的測試；如果此新檢查失敗，APM 系統將確認錯誤。
6. 然後，APM 會提醒團隊注意已確認的錯誤以進行升級，或嘗試修復（如果在值班計劃和升級設定中進行了設定）。

綜合監測的類型

雖然存在無數模擬使用者行為的監視器，但綜合監控主要涵蓋三個領域：Web 效能、可用性和事務。   

網路效能監控

Web 效能監控檢查 Web 伺服器和應用程式的可用性和效能。 IT 團隊可以使用 Web 效能監控來識別頁面載入速度、前端和後端回應時間以及所有應用程式元件的效能問題。團隊可以使用 Web 效能監控偵測到的一些問題包括：

• 內容傳遞網路 (CDN) 反應緩慢
• 內容錯誤
• 第三方整合導致的延遲
• 資料庫速度慢

可用性監控

這是監視的基本形式，用於確定應用程式的正常運行時間並檢查其功能是否按預期運行。一些綜合監控工具配備了高級可用性監視器，可以檢查特定的性能信息，例如：

• 內容驗證
• 身份驗證嘗試
• API呼叫
• DNS/SSL 項目驗證

交易監控

事務監控技術用於檢查應用程式中特定路徑的使用者體驗。透過模擬遵循特定任務完成的特定模式，這將綜合監控提升到了更高的水平。交易監控可用於檢查登入服務、表單填寫、產品購買或使用者對系統提示的回應方式。

綜合監控與真實使用者監控

綜合監控依靠模擬操作來衡量應用程式的效能，而真實使用者監控 (RUM) 則涉及對使用者體驗的追蹤。 RUM 是透過將程式碼注入網頁來實現的，以便它在後台收集有關使用者互動的資訊。因此，兩種監控技術之間存在一些根本差異，包括：

1. RUM 需要使用者操作來啟動測試，而 SM 在設定的時間間隔內自動發生。
2. RUM 使用資料包和資料擷取機制來收集流量信息，而 SM 使用腳本操作和應用程式回應。
3. RUM 用於識別歷史趨勢，而 SM 主要用於識別需要立即修復的短期應用程式問題。

實施綜合監控以實現應用程式可觀察性

綜合監控使用檢查點機器上的機器人監控客戶端來報告預先定義的業務交易和系統可用性。透過適當的綜合監控，軟體團隊可以輕鬆快速地識別效能問題的根本原因，以便快速解決。本節探討綜合監控和頂級工具的用例，以將其整合到應用程式開發和效能管理中。

 

成功的企業擅長他們所做的事情——事實上，他們做得非常好，以至於他們很難接受新的想法。相反，許多人選擇依賴現有產品和服務的榮譽——通常是他們的成功產品，他們的搖錢樹。需要明確的是，這是一個很好的問題。足夠成功以至於你不需要不斷地重塑自己並不是一件壞事。但是，歸根結底，缺乏持續創新仍然是一個問題——你可能完全錯過下一個重大創新。優秀的產品和服務線可能會為企業服務一段時間。但如果你想保持在市場的頂端，遲早你需要下一些賭注並承擔一些經過計算的風險。這正是思科成立新興技術與孵化中心 (ET&I)的原因。作為思科的一個部門，專注於開發和測試大膽的新產品和概念（即使它們存在風險並且很難保證成功），ET&I 為思科的企業文化注入了創業精神。以下詳細介紹了 ET&I 的工作方式、目前的工作內容以及您對團隊未來的期望。   

思科 ET&I 的作用

我們的目的很簡單：我們嘗試新的技術理念，尤其是在雲端原生安全、應用程式網路、應用程式安全性和 AI/ML 等領域，最終目標是將它們發展為業務產品或服務。我們將這些想法稱為“大膽的賭注”，因為這正是它們的本質：可能有回報也可能 土耳其電話號碼數據 沒有回報的賭注。雖然我們顯然希望他們能夠成功——並且要么幫助我們進入新市場，要么鞏固其在現有市場的地位——但如果他們不成功也完全沒問題。畢竟，創業心態——這意味著願意嘗試新事物、失敗並再次嘗試——是創造新企業的關鍵。換句話說，你可以說我們基本上是企業內部的新創公司。新創企業習慣於不斷的實驗和轉型。企業往往不會。透過對創業精神進行有目的的投資，我們能夠將企業的穩定性與新創公司的靈活性結合起來。

ET&I 的成功：雲端原生安全

如果聽起來我們只是在胡言亂語，那麼讓我們考慮一下我們迄今為止已經取得的成功：

• Kubernetes 安全：ET&I透過進一步開發容器內的威脅和漏洞以及雲端原生應用程式安全性，在將Portshift 的Kubernetes 和容器安全技術引入企業市場方面發揮了主導作用。   
• API 可見性：ET&I 還支援思科投資透過APIClarity將 API 安全性轉向左側，APIClarity 是一種開源 API 可見性和安全性工具，可讓您分析 API 流量並識別潛在風險。鑑於CVE資料庫中記錄的 API 相關漏洞不斷增加，這是一個急需的工具。     

儘管 ET&I 仍然是一個相對較新的企業，但這些勝利表明我們的模式已經取得了回報。這種獨特的方法使得思科（一家以前在雲端原生和微服務安全領域並不知名的公司）能夠將尖端的 Kubernetes 和 API 安全工具推向市場。

ET&I 創意的生命週期

我們能夠取得這樣的成功的部分原因是我們已經系統化了將有趣的想法轉化為商業現實的過程。

識別想法

我們的流程首先是確定一系列想法。我們在 台灣新聞 這方面非常開放；這些想法可能涉及基礎設施或應用程序，並且可以針對垂直或水平市場。唯一真正重要的是這些想法是創新的，並且有望解決以前沒有人解決過的問題——即使這些概念還沒有發展到可以商業化的程度。

研究問題

從那裡，我們找出市場需要解決的具體問題。我們 目錄 與利害關係人合作來驗證我們的假設，並明確新想法是否能夠真正解決該特定領域企業面臨的問題。

驗證商業模式

一旦我們知道存在問題和潛在的解決方案，我們就會努力開發一種商業模型，使組織能夠以實際的方式應用解決方案來解決問題。這一點很重要，因為開發問題的解決方案是一回事，而開發問題的解決方案又是一回事。從商業角度來看，以可行的方式做到這一點是另一回事。

商業提案：

驗證想法並考慮進行「冒險」的過程可能很有趣，也可能令人畏懼，這取決於您的觀點。每一個提交的「大膽賭注」都需要在大量觀眾面前進行審查。與該專案相關的關鍵工程師或業務領導者將在 20 分鐘的論壇上發表演講，在場的還有 100 多名其他思科員工，其中包括高階主管。回饋將透過口頭方式和 Webex 團隊空間進行現場回饋。那些有足夠前景推進的想法將繼續獲得高階主管的關注，而其他想法將獲得有關如何改進或必要的額外市場研究的建議。提出業務模型後，我們對其進行測試和驗證，以確保它在現實世界中確實有效。例如，如果我們在人工智慧/機器學習市場中發現了一個有前途的企業，我們的驗證工作將包括確認該技術不僅僅是另一種華麗的人工智慧/機器學習產品。我們將確保它能推動底線價值，而公司願意長期為此付出代價。我們透過與「設計合作夥伴」合作來實現這一目標，這些合作夥伴是對特定領域感興趣的公司。設計合作夥伴願意提供有關我們的開發計劃的回饋，並在非生產環境中測試解決方案。尋找願意在產品開發過程中與我們合作的設計合作夥伴，與出去購買替代解決方案，通常是一種平衡行為。對於設計合作夥伴來說，好處是可以為他們建立滿足其許多特定要求的解決方案。公司可以在這裡註冊成為設計合作夥伴。  

下一步是什麼：雲端原生安全、微服務及其他

我們從不排除某個想法或市場。但目前，我們的重點關注領域包括：

• 雲端原生安全：我們希望找到更多方法來幫助組織保護微服務、容器、Kubernetes 以及他們當今依賴的其他類型的複雜基礎設施。
• 雲端原生可觀察性：企業也需要新的方法來了解複雜的雲端原生環境中發生的情況。我們正在尋找技術來幫助他們做到這一點。
• 尖端的人工智慧/機器學習：在人工智慧/機器學習企業日益氾濫的市場中，我們正在將麥子與穀殼分開，以確定能夠脫穎而出的有前途的項目。

當我們繼續探索這些領域時，我們仍然致力於透過自下而上的方法建立和發展與開發人員的關係。我們的首要目標是彌合創意與業務現實之間的差距，如果不與實現這些創意的開發人員建立良好的關係，我們就無法做到這一點。這是透過共同努力實現共同目標、透過線上工具持續參與（感謝技術！）並將它們視為我們自己團隊的延伸來實現的。