容器和Kubernetes带来全新且独特的安全视角。他们促使团队重新考虑他们的传统安全策略,摆脱单一或瀑布式的粗放式方法,并希望摆脱事后才想到的安全工作的被动性。有人将这种趋势称为“左移”心态,这意味着我们将在软件开发生命周期或CI/CD管道的开始阶段尽可能多地部署安全元素。同样重要的是,这种转变将严重依赖自动化,要求我们及早并经常发现并解决问题,而不是等待严重问题发生并在事后补救。在这个充满活力的转型中,容器化和编排工具的结合将有助于提高安全性和合规性。Stackrox联合创始人兼首席战略官WeiLienDang表示,“像Kubernetes这样的平台最大的优势之一是它可以在安全和合规领域实现高度自动化,大大增强配置能力。这些自动化流程和工具可以帮助IT团队随时随地准确衡量Kubernetes环境的安全状态和整体风险。”左移思维也可以在安全策略的实施中发挥作用,这也有助于提高合规性。Dang解释说,“策略的执行将分布在各个检查点——包括在CI/CD管道、部署或运行??期间,编排工具将根据实际需求提供良好的可扩展性和可靠性。”下面,我们来看看通过容器化和编排工具提高安全性/合规性自动化的三个关键途径。保证良好的配置可见性自动化已成为确保安全性和合规性的关键手段。具体用例包括自动管理容器镜像及其存储在私有注册表中的安全策略,以及将自动安全测试纳入构建或持续集成。过程适中。Kubernetes带有一组丰富的安全相关功能,包括基于角色的访问控制、命名空间等。但如前所述,一味依赖默认配置是不可取的。AquaSecurity战略副总裁RaniOsnat表示,“Kubernetes是一个复杂的系统,有大量的配置和选项。其中一些可能存在安全风险,甚至在默认状态下会造成重大风险。”只有正确配置了这些功能,我们才有可能利用容器和编排工具的强大功能来实现安全性和合规性的自动化。对于此用例,构建在开源项目之上的商业平台(例如RedHatOpenShift)通常会带来很大好处。Dang还指出,“通过这种方式,安全最佳实践将自动应用于整个Kubernetes的各个级别——包括集群级别、命名空间级别、部署/服务级别、pod级别等。”通过自动化机制完善检测和策略执行能力,与很多朋友已经熟悉的声明式和自动化基础设施运行方式一样。大家也可以在安全领域进行相同或相似的操作。如上所述,这些对于容器安全和Kubernetes安全同样不可或缺。Dang说:“这些环境强调使用声明式API进行操作,在基础架构配置期间启用安全设置,并在整个应用程序构建和部署过程中提供安全保护。”换句话说,“代码管理模型”将通过与安全域合并来实现。NeuVector的CTOGrayDuan认为,“想要自动化Kubernetes合规性和安全性的企业还应该尽可能地将安全策略即代码与行为学习(或机器学习)结合起来。这种技术策略有助于支持安全性。”左移“思维模式帮助我们在应用开发初期引入工作负载安全策略,实现基于全生产过程的环保。”Duan还分享了安全与合规领域的几个“应该”案例,其中领先的是在运行时自动化安全漏洞扫描。Duan提到,“在实现Kubernetes合规性和安全自动化时,我们需要在运行时进行漏洞扫描——不仅仅是扫描容器,还要扫描主机甚至Kubernetes本身。”第二点是自动网络分析。部分。事实上,网络分段在一些行业是必要的合规要求,需要强制执行。越来越多的组织需要组织和管理合规性报告,而自动化网络分段作为合规性标准正成为许多行业的主流。例如,管理支付处理的PCIDSS安全标准要求在进出持卡人数据环境的流量之间进行网络分段和防火墙。在Duan看来,根本没有办法手动调整防火墙规则来应对容器化环境不断变化的新威胁形势。“因此,许多法规理所当然地要求在业务环境中进行自动运行时扫描和合规性检查。“KubernetesOperators是一类用于安全自动化的新兴工具。很酷的是,您可以使用KubernetesOperators来管理Kubernetes本身,从而更容易交付并自动处理安全部署。例如,Operators能够高效地管理配置漂移,使用Kubernetes声明式机制来重置和更改不支持的配置。”根据基准不断测试并建立自动化测试系统。即使配置正确,您也必须记住一件事:根据设计要求,容器化工作负载及其运行的基础设施不是静态的。这些环境是高度动态的,因此必须将安全视为一种持续的实践。Dang提到,“合规性检查也可以自动化,这样您就可以准确评估当前环境对各种基准和行业标准的遵守情况。“从安全和合规的角度来看,Kubernetes环境中最著名的检查(和重新检查)之一是CISKubernetesBenchmark。它是一个包含大约200项设置和安全配置的免费清单,这是一个很好的做法。这个checklist是系统全面的,但也让企业几乎不可能根据内容要求手动定期检查动态环境,好消息是市面上已经有现成的工具可以自动完成这项工作Aqua-bench开发的kube是一个免费的开源工具,可以根据CISKubernetes基准自动检查你的环境。事实上,CIS指南现在是一个非常重要的操作先决条件,RedHatOpenShiftContainerPlatform4专门选择条目为用户提供基于他们的合作伙伴工具。在kube-bench的帮助下,企业可以持续检查他们的安全态势,以确保集群不偏离合规要求。NeuVector还提供了一套免费的开源脚本,可以根据最佳实践自动检查Kubernetes安装情况。另外来自Aqua的还有一个开源的kube-hunter工具,可以根据已知漏洞对集群发起模拟攻击。Osnat指出,“如果说CIS基准测试关注的是单一设置及其对整体安全态势的影响,那么kube-hunter通过数十种已知的攻击向量对你的集群进行渗透测试,以实现安全补充。它会模拟攻击你的cluster来验证集群是否可以承受各种已知的攻击方法。它还提供设置更改建议,以帮助您快速修复已发现的安全漏洞。“终于,开源阵营又来了一个新人——Starboard,同样来自Aqua,一个用于Kubernetes安装的安全工具包。”Osnat总结道,“Starboard努力将各种工具集成到K8s体验中,包括漏洞扫描工具、工作负载审计器、基准测试等。它是基于K8sCRD(自定义资源定义)实现的,可以通过KubernetesAPI访问。用户熟悉kubectl(K8s原生CLI)可以轻松从中获取安全信息,并据此进行编程,进一步提高自动化水平。”
