Kubernetes是一個使用 Kubernetes 集群大規模管理和部署容器的開源平臺����,已成為企業基礎設施的基石。這種流行度的增長也意味著 Kubernetes 也成為了攻擊者的高價值目標?���;?Kubernetes 的漏洞利用����,例如Tesla 的 Cryptojacking 攻擊和Siloscape 惡意軟件����,無可否認地表明了這一現實。由于 Kubernetes 現在是企業應用程序基礎設施的基本組成部分����,也是黑客的常見攻擊點����,因此保護 K8s 部署必須成為企業的重中之重����。
Kubernetes 安全 VS 應用程序安全最佳實踐
在許多情況下,Kubernetes 安全最佳實踐與一般網絡和應用程序安全最佳實踐保持一致����。例如����,靜態和傳輸數據的加密是任何生產環境(K8s 或其他)中的賭注����。同樣����,必須正確處理密碼和 API 密鑰等敏感數據����。在大多數情況下����,企業 DevSecOps 團隊都知道這些基本的最佳實踐,并且很好地利用了它們����。在這里����,我們將超越基礎知識����,看看 7 個 Kubernetes 安全最佳實踐,它們可以將企業安全提升到一個新的水平����。
#1����。將 K8s 狀態管理和可見性放在首位
在高層次上����,K8s 狀態管理和可見性是關于能夠有效地做兩件事:
- 安全地配置所有 K8s 集群和容器工作負載����。
- 對企業內的所有工作負載和配置具有持續的粒度可見性����。
當然����,實現這些目標說起來容易做起來難����,尤其是在多云環境中����。那么,企業安全團隊具體可以做什么來優化他們的 Kubernetes 安全態勢和可見性?我們將在以下最佳實踐中介紹其中的許多步驟����。但是����,先決條件是組織認同����,以便在整個企業中優先考慮 K8s 安全性����。
以下是企業可以采取的一些最有影響力的步驟����,以開始他們在高水平上提高 K8s 安全性的旅程����。
- 使用行業最佳實踐強制配置 Kubernetes 集群:雖然每個部署都有細微差別,但所有企業都可以參考定義明確的容器安全標準來強化其 K8s 集群和容器工作負載����。例如,NIST 800-190 應用程序容器安全指南 ( PDF ) 和CIS 基準提供專家指導����,是企業可以遵循的優秀基準����。利用這些標準可以大大改善整體企業安全態勢����。
- “左移”和自動化:手動配置是疏忽和人為錯誤的秘訣����。“左移安全”,即在開發過程中盡早集成安全的過程����,本質上有助于限制手動配置并鼓勵安全最佳實踐的自動化。因此����,DevSecOps 團隊可以將 Kubernetes 的安全最佳實踐構建到 CI/CD 管道中����,以確保它們得到一致應用并無縫擴展����。
- 實施微分段:容器和 Kubernetes 集群的微分段有助于在整個企業基礎架構中實施零信任原則����,并在發生違規時限制橫向移動����。因此����,跨企業工作負載實施微分段策略對于優化整體安全態勢至關重要����。
- 在整個企業中實施正確的注釋和標簽:Kubernetes 標簽決定了策略和對象的分組方式����,甚至工作負載的部署位置����。因此,確保在整個企業集群中使用一致的標簽是保持強大安全態勢的一個重要方面。同樣,執行需要對工作負載進行特定注釋的策略并指定污點和容忍度以限制可以部署工作負載的位置是 DevSecOps 團隊的必要戰術步驟����。
- 利用持續監控:時間點安全審計����、滲透測試和漏洞掃描已經不夠了。為了跟上不斷迭代的威脅和網絡邊界,企業必須持續監控和掃描 K8s 集群中的威脅、入侵和不安全配置����。
#2����。實施形象保證
容器鏡像是 K8s 工作負載的構建塊����。不幸的是����,不安全的容器鏡像是一種普遍的威脅。例證:2020 年的一項分析發現 Docker Hub 上超過一半的圖像存在嚴重漏洞����。因此����,確保K8s 集群中使用的圖像是安全的并從可信來源提取是重要的 Kubernetes 安全最佳實踐����。
要實施形象保證����,企業應利用安全工具:
- 在開發和運行時掃描圖像。
- 防止部署不符合策略的容器����。
- 解構圖像層并掃描圖像中的包和依賴項����。
- 檢查圖像是否存在惡意軟件����、漏洞和不安全的配置,例如明文形式的密碼和加密密鑰����。
#3����。使用準入控制器微調策略
Kubernetes API 服務器是企業必須防止不安全或惡意請求的攻擊面����。準入控制器是旨在幫助做到這一點的代碼片段����。準入控制器在授權后但在持久化之前對 API 調用進行操作����,因此它們可以幫助防止在出現人為錯誤����、配置錯誤或帳戶被盜時對集群進行修改。借助準入控制器,企業可以定義微調策略來限制各種操作,包括 pod 更新、圖像部署和角色分配����。
#4����。使用 WAAP 保護 Web 應用程序和 API
傳統的 Web 應用程序防火墻 (WAF) 和入侵檢測與防御系統 (IDS/IPS) 不夠靈活或不夠智能����,無法跟上現代 Web 應用程序和 API 面臨的威脅����。為應對機器人程序和零日攻擊等威脅,企業應使用 Web 應用程序和 API 保護 ( WAAP ) 解決方案����。
WAAP 在設計時考慮了現代云原生應用程序����,并提供以下功能:
- API 和微服務保護����。
- 內置下一代 Web 應用程序防火墻 (NGWAF)����。
- 僵尸程序和 DDoS 保護����。
- 高級速率限制可減少誤報����。
#5����。使用智能運行時保護解決方案
K8s 安全性最艱難的平衡之一是識別惡意行為并保護工作負載免受實時攻擊����,同時限制誤報。為了獲得正確的平衡����,企業需要使用多個數據點來識別和減輕威脅的智能解決方案����。這需要一種三管齊下的運行時保護方法,包括:
- 運行時分析:每個 K8s 集群都是不同的����,性能基線對于檢測惡意行為很重要?���,F代運行時保護解決方案執行運行時分析����,以建立網絡流、文件系統活動和運行進程的正常行為基線。這些基線可以幫助威脅檢測引擎根據上下文檢測和緩解潛在威脅����,改善整體安全狀況并限制誤報����。
- 惡意行為簽名檢測:一個強大的已知惡意行為數據庫使安全工具能夠快速準確地檢測常見威脅����。通過將觀察到的行為與簽名數據庫進行比較����,可以在眾所周知的威脅有機會破壞網絡之前將其遏制。
- 反惡意軟件引擎:智能反惡意軟件引擎和在運行時持續掃描工作負載是運行時保護的關鍵組件。反惡意軟件引擎是運行時安全的主力����,企業應持續掃描所有工作負載以盡快檢測威脅。
#6����。投資現代 K8s 入侵防護
多年來,IPS/IDS 技術一直是企業安全的重要組成部分,而且隨著容器和 Kubernetes 的興起����,這一點也沒有改變。從根本上說����,檢測可疑行為并標記或阻止它的工具將始終是企業安全的基石����。發生變化的是 IPS/IDS 必須保護的資產的動態特性以及現代企業面臨的威脅����。
適用于 Kubernetes 的現代入侵保護解決方案需要能夠執行以下功能:
- 來自 K8s pod 的內部端口掃描。
- 分析與帳戶、應用程序流量和 K8s 集群操作相關的數據����。
- 檢測加密挖掘等現代威脅����。
此外����,現代 IPS/IDS 需要在多云環境中運行����,以保護部署在任何地方的 K8s 集群����。
#7����。強調可視化和定期報告
要了解其安全狀況的當前狀態����,企業必須能夠訪問占其整個應用程序基礎架構的最新報告和可視化(例如儀表板)。沒有一套適合所有企業需要的 KPI 和報告����,因此定制是有效解決方案的一個重要方面����。然而����,任何企業級 K8s 安全可視化和報告解決方案都應該包括來自所有云的聚合數據、向下鉆取以顯示更精細細節的能力����,以及資產和警報的單一管理平臺概覽����。
在評估可視化和報告工具時,不要忽視儀表板和高級概覽的重要性����。許多報告工具面臨的最大挑戰之一是信息過載和缺乏清晰度。信息太多����,以至于在企業層面變得不連貫。通過正確的高級可視化和報告����,企業可以快速有效地評估其整體容器安全狀況����,并了解他們需要首先關注哪些發現����。
網站資訊
解決方案
服務支持
