快速体验我们的高速稳定服务器
马上使用Kubernetes是一个使用 Kubernetes 集群大规模管理和部署容器的开源平台,已成为企业基础设施的基石。这种流行度的增长也意味着 Kubernetes 也成为了攻击者的高价值目标。基于 Kubernetes 的漏洞利用,例如Tesla 的 Cryptojacking 攻击和Siloscape 恶意软件,无可否认地表明了这一现实。由于 Kubernetes 现在是企业应用程序基础设施的基本组成部分,也是黑客的常见攻击点,因此保护 K8s 部署必须成为企业的重中之重。,,在许多情况下,Kubernetes 安全最佳实践与一般网络和应用程序安全最佳实践保持一致。例如,静态和传输数据的加密是任何生产环境(K8s 或其他)中的赌注。同样,必须正确处理密码和 API 密钥等敏感数据。在大多数情况下,企业 DevSecOps 团队都知道这些基本的最佳实践,并且很好地利用了它们。在这里,我们将超越基础知识,看看 7 个 Kubernetes 安全最佳实践,它们可以将企业安全提升到一个新的水平。, #1。将 K8s 状态管理和可见性放在首位,在高层次上,K8s 状态管理和可见性是关于能够有效地做两件事:,当然,实现这些目标说起来容易做起来难,尤其是在多云环境中。那么,企业安全团队具体可以做什么来优化他们的 Kubernetes 安全态势和可见性?我们将在以下最佳实践中介绍其中的许多步骤。但是,先决条件是组织认同,以便在整个企业中优先考虑 K8s 安全性。,以下是企业可以采取的一些最有影响力的步骤,以开始他们在高水平上提高 K8s 安全性的旅程。, #2。实施形象保证,容器镜像是 K8s 工作负载的构建块。不幸的是,不安全的容器镜像是一种普遍的威胁。例证:2020 年的一项分析发现 Docker Hub 上超过一半的图像存在严重漏洞。因此,确保K8s 集群中使用的图像是安全的并从可信来源提取是重要的 Kubernetes 安全最佳实践。,要实施形象保证,企业应利用安全工具:, #3。使用准入控制器微调策略,Kubernetes API 服务器是企业必须防止不安全或恶意请求的攻击面。准入控制器是旨在帮助做到这一点的代码片段。准入控制器在授权后但在持久化之前对 API 调用进行操作,因此它们可以帮助防止在出现人为错误、配置错误或帐户被盗时对集群进行修改。借助准入控制器,企业可以定义微调策略来限制各种操作,包括 pod 更新、图像部署和角色分配。, #4。使用 WAAP 保护 Web 应用程序和 API,传统的 Web 应用程序防火墙 (WAF) 和入侵检测与防御系统 (IDS/IPS) 不够灵活或不够智能,无法跟上现代 Web 应用程序和 API 面临的威胁。为应对机器人程序和零日攻击等威胁,企业应使用 Web 应用程序和 API 保护 ( WAAP ) 解决方案。,WAAP 在设计时考虑了现代云原生应用程序,并提供以下功能:, #5。使用智能运行时保护解决方案,K8s 安全性最艰难的平衡之一是识别恶意行为并保护工作负载免受实时攻击,同时限制误报。为了获得正确的平衡,企业需要使用多个数据点来识别和减轻威胁的智能解决方案。这需要一种三管齐下的运行时保护方法,包括:, #6。投资现代 K8s 入侵防护,多年来,IPS/IDS 技术一直是企业安全的重要组成部分,而且随着容器和 Kubernetes 的兴起,这一点也没有改变。从根本上说,检测可疑行为并标记或阻止它的工具将始终是企业安全的基石。发生变化的是 IPS/IDS 必须保护的资产的动态特性以及现代企业面临的威胁。,适用于 Kubernetes 的现代入侵保护解决方案需要能够执行以下功能:,此外,现代 IPS/IDS 需要在多云环境中运行,以保护部署在任何地方的 K8s 集群。, #7。强调可视化和定期报告,要了解其安全状况的当前状态,企业必须能够访问占其整个应用程序基础架构的最新报告和可视化(例如仪表板)。没有一套适合所有企业需要的 KPI 和报告,因此定制是有效解决方案的一个重要方面。然而,任何企业级 K8s 安全可视化和报告解决方案都应该包括来自所有云的聚合数据、向下钻取以显示更精细细节的能力,以及资产和警报的单一管理平台概览。,在评估可视化和报告工具时,不要忽视仪表板和高级概览的重要性。许多报告工具面临的最大挑战之一是信息过载和缺乏清晰度。信息太多,以至于在企业层面变得不连贯。通过正确的高级可视化和报告,企业可以快速有效地评估其整体容器安全状况,并了解他们需要首先关注哪些发现。, ,Kubernetes是一个使用 Kubernetes 集群大规模管理和部署容器的开源平台,已成为企业基础设施的基石。这种流行度的增长也意味着 Kubernetes 也成为了攻击者的高价值目标。基于 Kubernetes 的漏洞利用,例如Tesla 的 Cryptojacking 攻击和Siloscape 恶意软件,无可否认地表明了这一现实。由于 Kubernetes 现在是企业应用程序基础设施的基本组成部分,也是黑客的常见攻击点,因此保护 K8s 部署必须成为企业的重中之重。,当然,实现这些目标说起来容易做起来难,尤其是在多云环境中。那么,企业安全团队具体可以做什么来优化他们的 Kubernetes 安全态势和可见性?我们将在以下最佳实践中介绍其中的许多步骤。但是,先决条件是组织认同,以便在整个企业中优先考虑 K8s 安全性。,