Kubernetes安全的五個熱門話題
隨著企業基于云的數字化轉型不斷推進,Kubernetes(K8s)的安全防護已受到廣泛關注,近日ARMO的首席執行官Shauli Rozen在接受海外媒體采訪時重點討論了Kubernetes目前較熱門的五個話題:
01
與其他平臺一樣,Kubernetes容易受到網絡攻擊。是什么驅使網絡犯罪分子瞄準 Kubernetes,他們希望獲得什么?
Shauli Rozen:這個問題應當從攻擊者的角度回答。那么,攻擊者在尋找什么?他們正在尋找目標。他們如何選擇目標?主要通過兩個關鍵參數進行考量:
1.高價值目標:隨著Kubernetes變得更加主流,被更多公司使用,在更多環境中,它被部署在具有高價值信息的地方,它不再只是某個局部的小工作負載、測試應用程序或“軟件游樂場”,它是在生產環境的核心和極速增長的組織中。
2.易于攻擊:基于Kubernetes的系統容易遭受攻擊的最大因素不是底層技術漏洞,而是因為它是新的(技術)。攻擊者喜歡新系統,因為組織往往還不知道如何安全地配置這些系統。
除此之外,Kubernetes是一個非常復雜的系統,它通常運行基于微服務的架構,這些架構本質上更復雜,擁有更多的API及不斷變化和激增的軟件工件——這自然會增加攻擊面。
在2021年春季關于Kubernetes安全狀況的報告中,RedHat指出,94%的受訪者在其 Kubernetes環境中遇到過安全事件。這些事件的主要原因是配置錯誤和漏洞。這主要是因為在快速采用的同時,K8s仍在不斷發展。
02
Kubernetes安全流程是如何構建的?
Shauli Rozen:我的第一個建議是:讓了解Kubernetes來龍去脈的人負責這個流程。這聽起來微不足道,但情況并非總是如此。基于Kubernetes的環境比以往任何時候都更需要將策略與技術分開,并使安全成為一項工程策略。
然后,該流程應側重于安全性和操作性兩個主要方面。首先,Kubernetes安全態勢管理 (KSPM) – 盡早(在CI管道期間)掃描、查找和修復軟件漏洞的過程、方法和控制,以防止它們進入生產環境。這里的目標是最小化攻擊面,并盡可能地強化K8s環境。其次:運行時保護。在網絡攻擊發生時(在大多數情況下是在生產期間)檢測和預防網絡攻擊的過程、方法和控制。這里的目標是最大限度地提高K8s環境對網絡攻擊的彈性。
我看到大多數公司都是從KSPM開始著手的,我認為這是合理的,這種方式做起來更快,縮小了差距,并且對生產環境的影響較小。在查看Kubernetes安全配置并獲得指導時,有一些權威組織發布的框架和文檔可以使用,目前業界已經開發了幾個開源工具,讓框架的測試變得更加容易。
03
云端托管和本地部署Kubernetes之間有什么區別?你會推薦哪一個?為什么?
Shauli Rozen:對于不在公共云中但希望體驗云技術和微服務架構優勢的組織來說,本地部署Kubernetes是一個不錯的選擇。這意味著你需要部署自己的Kubernetes系統,管理、配置、更新它的所有方面等。老實說,這并不容易,我已經看到幾個組織開始了這個過程,但從未完成它。托管Kubernetes會將大部分負擔交給托管供應商,并讓組織能夠專注于工作負載而不是基礎設施。如果沒有其他限制因素(例如不使用公共云的安全政策),我個人會選擇后者。
04
保證Kubernetes的安全部署需要哪些基本流程?
Shauli Rozen:作為DevOps和自動化的倡導者,我很難定義組織流程,我將更多地參考CI/CD 流程和所需的自動化,而不是組織流程。任何流程中最重要的部分是將安全需求集成到 CI/CD流程中,并使開發人員和DevOps專業人員可以輕松使用它們。當出現新的安全要求時,應將其添加到中心位置并自動向下推送到CI/CD以幫助開發組織盡早弄清楚該要求對其流程的影響,幫助其不斷改變和更新自動化流程來滿足新的安全需求。
05
在不久的將來,我們可以期待Kubernetes安全性的哪些現實改進?
Shauli Rozen:我相信對Kubernetes安全性的最顯著影響不是技術性的,而是行為性的,隨著Kubernetes變得更加主流,集群的配置將受到更多審查,開發人員、DevOps和架構師將更加意識到他們可能增加的潛在風險到系統。這將導致更少的配置錯誤,減少攻擊面。在技術方面,我期待更多來自Kubernetes SIG安全小組的本地安全控制和指導方針,例如POD安全策略的變化,使其更加可用和友好。
