Kubernetes是一個(gè)使用 Kubernetes 集群大規(guī)模管理和部署容器的開源平臺(tái),已成為企業(yè)基礎(chǔ)設(shè)施的基石。這種流行度的增長也意味著 Kubernetes 也成為了攻擊者的高價(jià)值目標(biāo)。基于 Kubernetes 的漏洞利用,例如Tesla 的 Cryptojacking 攻擊和Siloscape 惡意軟件,無可否認(rèn)地表明了這一現(xiàn)實(shí)。由于 Kubernetes 現(xiàn)在是企業(yè)應(yīng)用程序基礎(chǔ)設(shè)施的基本組成部分,也是黑客的常見攻擊點(diǎn),因此保護(hù) K8s 部署必須成為企業(yè)的重中之重。
Kubernetes 安全 VS 應(yīng)用程序安全最佳實(shí)踐
在許多情況下,Kubernetes 安全最佳實(shí)踐與一般網(wǎng)絡(luò)和應(yīng)用程序安全最佳實(shí)踐保持一致。例如,靜態(tài)和傳輸數(shù)據(jù)的加密是任何生產(chǎn)環(huán)境(K8s 或其他)中的賭注。同樣,必須正確處理密碼和 API 密鑰等敏感數(shù)據(jù)。在大多數(shù)情況下,企業(yè) DevSecOps 團(tuán)隊(duì)都知道這些基本的最佳實(shí)踐,并且很好地利用了它們。在這里,我們將超越基礎(chǔ)知識(shí),看看 7 個(gè) Kubernetes 安全最佳實(shí)踐,它們可以將企業(yè)安全提升到一個(gè)新的水平。
#1。將 K8s 狀態(tài)管理和可見性放在首位
在高層次上,K8s 狀態(tài)管理和可見性是關(guān)于能夠有效地做兩件事:
- 安全地配置所有 K8s 集群和容器工作負(fù)載。
- 對(duì)企業(yè)內(nèi)的所有工作負(fù)載和配置具有持續(xù)的粒度可見性。
當(dāng)然,實(shí)現(xiàn)這些目標(biāo)說起來容易做起來難,尤其是在多云環(huán)境中。那么,企業(yè)安全團(tuán)隊(duì)具體可以做什么來優(yōu)化他們的 Kubernetes 安全態(tài)勢和可見性?我們將在以下最佳實(shí)踐中介紹其中的許多步驟。但是,先決條件是組織認(rèn)同,以便在整個(gè)企業(yè)中優(yōu)先考慮 K8s 安全性。
以下是企業(yè)可以采取的一些最有影響力的步驟,以開始他們?cè)诟咚缴咸岣?K8s 安全性的旅程。
- 使用行業(yè)最佳實(shí)踐強(qiáng)制配置 Kubernetes 集群:雖然每個(gè)部署都有細(xì)微差別,但所有企業(yè)都可以參考定義明確的容器安全標(biāo)準(zhǔn)來強(qiáng)化其 K8s 集群和容器工作負(fù)載。例如,NIST 800-190 應(yīng)用程序容器安全指南 ( PDF ) 和CIS 基準(zhǔn)提供專家指導(dǎo),是企業(yè)可以遵循的優(yōu)秀基準(zhǔn)。利用這些標(biāo)準(zhǔn)可以大大改善整體企業(yè)安全態(tài)勢。
- “左移”和自動(dòng)化:手動(dòng)配置是疏忽和人為錯(cuò)誤的秘訣。“左移安全”,即在開發(fā)過程中盡早集成安全的過程,本質(zhì)上有助于限制手動(dòng)配置并鼓勵(lì)安全最佳實(shí)踐的自動(dòng)化。因此,DevSecOps 團(tuán)隊(duì)可以將 Kubernetes 的安全最佳實(shí)踐構(gòu)建到 CI/CD 管道中,以確保它們得到一致應(yīng)用并無縫擴(kuò)展。
- 實(shí)施微分段:容器和 Kubernetes 集群的微分段有助于在整個(gè)企業(yè)基礎(chǔ)架構(gòu)中實(shí)施零信任原則,并在發(fā)生違規(guī)時(shí)限制橫向移動(dòng)。因此,跨企業(yè)工作負(fù)載實(shí)施微分段策略對(duì)于優(yōu)化整體安全態(tài)勢至關(guān)重要。
- 在整個(gè)企業(yè)中實(shí)施正確的注釋和標(biāo)簽:Kubernetes 標(biāo)簽決定了策略和對(duì)象的分組方式,甚至工作負(fù)載的部署位置。因此,確保在整個(gè)企業(yè)集群中使用一致的標(biāo)簽是保持強(qiáng)大安全態(tài)勢的一個(gè)重要方面。同樣,執(zhí)行需要對(duì)工作負(fù)載進(jìn)行特定注釋的策略并指定污點(diǎn)和容忍度以限制可以部署工作負(fù)載的位置是 DevSecOps 團(tuán)隊(duì)的必要戰(zhàn)術(shù)步驟。
- 利用持續(xù)監(jiān)控:時(shí)間點(diǎn)安全審計(jì)、滲透測試和漏洞掃描已經(jīng)不夠了。為了跟上不斷迭代的威脅和網(wǎng)絡(luò)邊界,企業(yè)必須持續(xù)監(jiān)控和掃描 K8s 集群中的威脅、入侵和不安全配置。
#2。實(shí)施形象保證
容器鏡像是 K8s 工作負(fù)載的構(gòu)建塊。不幸的是,不安全的容器鏡像是一種普遍的威脅。例證:2020 年的一項(xiàng)分析發(fā)現(xiàn) Docker Hub 上超過一半的圖像存在嚴(yán)重漏洞。因此,確保K8s 集群中使用的圖像是安全的并從可信來源提取是重要的 Kubernetes 安全最佳實(shí)踐。
要實(shí)施形象保證,企業(yè)應(yīng)利用安全工具:
- 在開發(fā)和運(yùn)行時(shí)掃描圖像。
- 防止部署不符合策略的容器。
- 解構(gòu)圖像層并掃描圖像中的包和依賴項(xiàng)。
- 檢查圖像是否存在惡意軟件、漏洞和不安全的配置,例如明文形式的密碼和加密密鑰。
#3。使用準(zhǔn)入控制器微調(diào)策略
Kubernetes API 服務(wù)器是企業(yè)必須防止不安全或惡意請(qǐng)求的攻擊面。準(zhǔn)入控制器是旨在幫助做到這一點(diǎn)的代碼片段。準(zhǔn)入控制器在授權(quán)后但在持久化之前對(duì) API 調(diào)用進(jìn)行操作,因此它們可以幫助防止在出現(xiàn)人為錯(cuò)誤、配置錯(cuò)誤或帳戶被盜時(shí)對(duì)集群進(jìn)行修改。借助準(zhǔn)入控制器,企業(yè)可以定義微調(diào)策略來限制各種操作,包括 pod 更新、圖像部署和角色分配。
#4。使用 WAAP 保護(hù) Web 應(yīng)用程序和 API
傳統(tǒng)的 Web 應(yīng)用程序防火墻 (WAF) 和入侵檢測與防御系統(tǒng) (IDS/IPS) 不夠靈活或不夠智能,無法跟上現(xiàn)代 Web 應(yīng)用程序和 API 面臨的威脅。為應(yīng)對(duì)機(jī)器人程序和零日攻擊等威脅,企業(yè)應(yīng)使用 Web 應(yīng)用程序和 API 保護(hù) ( WAAP ) 解決方案。
WAAP 在設(shè)計(jì)時(shí)考慮了現(xiàn)代云原生應(yīng)用程序,并提供以下功能:
- API 和微服務(wù)保護(hù)。
- 內(nèi)置下一代 Web 應(yīng)用程序防火墻 (NGWAF)。
- 僵尸程序和 DDoS 保護(hù)。
- 高級(jí)速率限制可減少誤報(bào)。
#5。使用智能運(yùn)行時(shí)保護(hù)解決方案
K8s 安全性最艱難的平衡之一是識(shí)別惡意行為并保護(hù)工作負(fù)載免受實(shí)時(shí)攻擊,同時(shí)限制誤報(bào)。為了獲得正確的平衡,企業(yè)需要使用多個(gè)數(shù)據(jù)點(diǎn)來識(shí)別和減輕威脅的智能解決方案。這需要一種三管齊下的運(yùn)行時(shí)保護(hù)方法,包括:
- 運(yùn)行時(shí)分析:每個(gè) K8s 集群都是不同的,性能基線對(duì)于檢測惡意行為很重要。現(xiàn)代運(yùn)行時(shí)保護(hù)解決方案執(zhí)行運(yùn)行時(shí)分析,以建立網(wǎng)絡(luò)流、文件系統(tǒng)活動(dòng)和運(yùn)行進(jìn)程的正常行為基線。這些基線可以幫助威脅檢測引擎根據(jù)上下文檢測和緩解潛在威脅,改善整體安全狀況并限制誤報(bào)。
- 惡意行為簽名檢測:一個(gè)強(qiáng)大的已知惡意行為數(shù)據(jù)庫使安全工具能夠快速準(zhǔn)確地檢測常見威脅。通過將觀察到的行為與簽名數(shù)據(jù)庫進(jìn)行比較,可以在眾所周知的威脅有機(jī)會(huì)破壞網(wǎng)絡(luò)之前將其遏制。
- 反惡意軟件引擎:智能反惡意軟件引擎和在運(yùn)行時(shí)持續(xù)掃描工作負(fù)載是運(yùn)行時(shí)保護(hù)的關(guān)鍵組件。反惡意軟件引擎是運(yùn)行時(shí)安全的主力,企業(yè)應(yīng)持續(xù)掃描所有工作負(fù)載以盡快檢測威脅。
#6。投資現(xiàn)代 K8s 入侵防護(hù)
多年來,IPS/IDS 技術(shù)一直是企業(yè)安全的重要組成部分,而且隨著容器和 Kubernetes 的興起,這一點(diǎn)也沒有改變。從根本上說,檢測可疑行為并標(biāo)記或阻止它的工具將始終是企業(yè)安全的基石。發(fā)生變化的是 IPS/IDS 必須保護(hù)的資產(chǎn)的動(dòng)態(tài)特性以及現(xiàn)代企業(yè)面臨的威脅。
適用于 Kubernetes 的現(xiàn)代入侵保護(hù)解決方案需要能夠執(zhí)行以下功能:
- 來自 K8s pod 的內(nèi)部端口掃描。
- 分析與帳戶、應(yīng)用程序流量和 K8s 集群操作相關(guān)的數(shù)據(jù)。
- 檢測加密挖掘等現(xiàn)代威脅。
此外,現(xiàn)代 IPS/IDS 需要在多云環(huán)境中運(yùn)行,以保護(hù)部署在任何地方的 K8s 集群。
#7。強(qiáng)調(diào)可視化和定期報(bào)告
要了解其安全狀況的當(dāng)前狀態(tài),企業(yè)必須能夠訪問占其整個(gè)應(yīng)用程序基礎(chǔ)架構(gòu)的最新報(bào)告和可視化(例如儀表板)。沒有一套適合所有企業(yè)需要的 KPI 和報(bào)告,因此定制是有效解決方案的一個(gè)重要方面。然而,任何企業(yè)級(jí) K8s 安全可視化和報(bào)告解決方案都應(yīng)該包括來自所有云的聚合數(shù)據(jù)、向下鉆取以顯示更精細(xì)細(xì)節(jié)的能力,以及資產(chǎn)和警報(bào)的單一管理平臺(tái)概覽。
在評(píng)估可視化和報(bào)告工具時(shí),不要忽視儀表板和高級(jí)概覽的重要性。許多報(bào)告工具面臨的最大挑戰(zhàn)之一是信息過載和缺乏清晰度。信息太多,以至于在企業(yè)層面變得不連貫。通過正確的高級(jí)可視化和報(bào)告,企業(yè)可以快速有效地評(píng)估其整體容器安全狀況,并了解他們需要首先關(guān)注哪些發(fā)現(xiàn)。
網(wǎng)站資訊
解決方案
關(guān)于我們
