如今,随着企业加速应用程序现代化,Kubernetes安全性往往被搁置一旁。尽管风险增加,但我们仍然需要对减轻容器化环境中威胁的安全策略持谨慎态度。一方面,安全措施必须足够精确,以满足严格的合规要求并通过审计。组织必须遵守的各种法规包括SOC2、PCIDSS、GPDR、HIPAA等等。同时,无论采用何种安全流程,都要确保DevOps和开发人员的工作效率不会受到影响。这是一个微妙的平衡,几乎没有出错的余地。为确保在不影响生产力的情况下在容器化环境中持续合规,请遵循以下6种做法。1.自动化市场上有很多优秀的、完全开源的工具,合适的工具可以帮助企业实现实时威胁响应和持续在线监控,确保持续合规。例如,企业应将自动化漏洞扫描和安全策略作为代码(https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent)集成到管道中。使用自动化Kubernetes审计日志分析工具处理日志和事件。基于机器学习的SIEM技术可快速自动识别攻击模式。组织还应利用CIS基线和自定义合规性检查来持续审查Kubernetes配置。2.保护Kubernetes本身将Kubernetes本身视为攻击面是至关重要的,因为攻击者会这样做。威胁变得越来越复杂,企业需要主动保护容器环境背后的整个堆栈以实现持续合规。保护措施包括:启用自动监控、强化对策、执行配置审计和准备自动缓解措施。除了Kubernetes(https://www.darkreading.com/cloud/firms-struggle-to-secure-multicloud-misconfigurations),企业应该对任何服务网格、托管VM、插件或其他目标执行相同的操作可能被攻击的措施。3.发现攻击阻止攻击攻击链杀戮通常始于启动无法识别的容器网络连接或进程,通过写入或更改现有文件来提升其访问级别,或者利用未受保护的入口点。然后,此类恶意手段利用网络流量将捕获的数据发送到外部IP地址,从而导致数据泄露。杀伤链可能同样以KubernetesAPI服务为目标进行中间人攻击,通常会发起零日攻击、内部攻击和加密货币挖掘攻击。利用ApacheLog4j的攻击也在增加。数据丢失防护(DLP)和Web应用程序防火墙(WAF)的组合策略提供了检测活动杀伤链所需的可见性和自动响应,在可疑进程和流量造成损害之前终止它们。事实上,许多当前的法规遵从性框架特别要求组织具有DLP和WAF功能以保护其容器和Kubernetes环境,包括PCIDSS、SOC2和GDPR。(HIPAA还强烈建议采用DLP。)4.通过实施零信任模型专注于零信任(https://www.darkreading.com/edge/get-started-on-continuous-compliance-ahead-of-pci-dss-v4-0),企业不再对日志分析或基于签名的检测期间发现的威胁做出反应。零信任策略只允许批准的流程和流量在企业环境中移动,从而防止所有攻击。整个云原生技术栈,以及RBAC等访问控制,都必须采用这些零信任保护措施。这样做,企业可以确保持续合规。5.利用Kubernetes的内置安全措施。Kubernetes内置的安全功能包括日志审计、RBAC和通过KubernetesAPI服务器(https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/)系统日志收集的集中化。使用这些功能收集和分析所有活动日志以识别攻击或错误配置。然后可以使用安全补丁或新的基于策略的保护来解决事件或不合规的运行时活动。在大多数情况下,企业将希望使用支持容器应用程序安全和持续合规性审计的工具进一步支持现有的Kubernetes安全措施。组织应该使用内置的Kubernetes准入控制器(https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/)来密切协调Kubernetes与外部注册请求和资源请求。这种方法可以更好地防止应用程序部署中的漏洞和未经授权的操作。6.验证云主机的安全性。托管Kubernetes的云平台可以控制自己的系统,必须确保其持续合规。然而,如果不检查这些云托管实践是否真正得到充分保护并履行企业自身的合规责任,风险就太高了。事实上,许多云提供商(https://www.darkreading.com/cloud/companies-need-to-keep-watch-on-cloud-data)提供的责任共担模型将保护应用程序访问、网络行为和云上的其他资产直接留给客户。实时环境中的持续合规性Kubernetes和容器化环境非常动态,容器的创建和删除速度无法通过手动安全检查来保护。此外,合规性法规要求的许多传统安全技术(例如网络分段和防火墙)在容器网络中不起作用。随着应用程序在生产环境中的构建、迁移和运行,现代持续开发流程会定期引入新代码和容器。因此,法规要求组织采用自动化的实时安全保护和审计,以实现真正的持续合规性。原文链接:https://mp.weixin.qq.com/s/MQh16-PQYsjaGCjwyxIk_A
