随着企业云化数字化转型的不断推进,Kubernetes(K8s)的安全防护受到广泛关注。近日,ARMOCEOShauliRozen在接受海外媒体采访时重点讨论了当下关于Kubernetes的五个热点话题:1.与其他平台一样,Kubernetes容易受到网络攻击。是什么驱使网络犯罪分子瞄准Kubernetes,他们希望获得什么?ShauliRozen:这个问题应该从攻击者的角度来回答。那么,攻击者在寻找什么?他们在寻找目标。他们如何选择目标?主要由两个关键参数考虑:高价值目标:随着Kubernetes越来越主流,被越来越多的公司使用,在越来越多的环境中,它部署了高价值的信息,它不再只是一些本地化的小工作负载,测试应用或“软件游乐场”,它位于生产环境和高速增长组织的中心。易受攻击:基于Kubernetes的系统易受攻击的最大因素不是底层技术漏洞,而是因为它是新的。攻击者喜欢新系统,因为组织通常还不知道如何安全地配置它们。除此之外,Kubernetes是一个非常复杂的系统,通常运行基于微服务的架构,这些架构本质上更复杂,具有更多的API以及不断变化和激增的软件工件——这自然会增加攻击面。RedHat在其2021年春季关于Kubernetes安全状况的报告中指出,94%的受访者在其Kubernetes环境中经历过安全事件。这些事件的主要原因是配置错误和漏洞。这主要是因为K8s在被快速采用的同时仍在不断发展。2.Kubernetes安全流程是如何搭建的?ShauliRozen:我的第一个建议是:让了解Kubernetes来龙去脉的人来负责流程。这听起来微不足道,但并非总是如此。基于Kubernetes的环境比以往任何时候都更需要将战略与技术分开,并将安全作为一项工程战略。然后,该过程应侧重于安全性和可操作性这两个主要方面。首先,Kubernetes安全态势管理(KSPM)-及早(在CI管道期间)扫描、查找和修复软件漏洞以防止它们进入生产环境的过程、方法和控制。这里的目标是最小化攻击面并尽可能强化K8s环境。第二:运行时保护。在网络攻击发生时(大多数情况下是在生产过程中)检测和预防网络攻击的流程、方法和控制。这里的目标是最大限度地提高K8s环境对网络攻击的弹性。我看到大多数公司都从KSPM开始,我认为这是有道理的,这样做速度更快,缩小了差距,并且对生产环境的影响更小。查看Kubernetes安全配置和获取指导时,有权威机构发布的框架和文档可以使用。目前业界已经开发了几个开源工具来简化框架测试。3.云托管和本地Kubernetes有什么区别?你会推荐哪一个?为什么?ShauliRozen:对于不在公共云中但希望体验云技术和微服务架构带来的好处的组织,本地Kubernetes是一个不错的选择。这意味着你需要部署自己的Kubernetes系统,管理、配置、更新它的所有方面等等。老实说,这并不容易,我看到有几个组织开始了这个过程,但从未完成。托管Kubernetes将大部分负担卸载给托管提供商,并允许组织专注于工作负载而不是基础设施。如果没有其他限制因素(例如不使用公共云的安全策略),我个人会选择后者。4.确保Kubernetes安全部署需要哪些基本流程?ShauliRozen:作为DevOps和自动化的倡导者,我很难定义组织流程,我会更多地参考CI/CD流程和所需的自动化,而不是组织流程。任何流程中最重要的部分是将安全要求集成到CI/CD流程中,并让开发人员和DevOps专业人员轻松获得它们。当出现新的安全需求时,应将它们添加到一个中心位置并自动下推到CI/CD,以帮助开发组织及早了解需求对其流程的影响,帮助他们不断更改和更新自动化流程以满足新的安全要求。安全需求。5.在不久的将来,我们可以期待Kubernetes安全性有哪些现实的改进?ShauliRozen:我认为对Kubernetes安全性最重要的影响不会是技术上的,而是行为上的,随着Kubernetes变得更加主流,集群配置将受到更多审查,开发人员、DevOps和架构师将更加意识到他们可能面临的潜在风险添加到系统中。这样可以减少错误配置并减少攻击面。在技??术方面,我期待KubernetesSIG安全组提供更多本机安全控制和指南,例如更改POD安全策略以使其更加可用和友好。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
