Kubernetes安全:企业部署最佳实践

信息安全D1net 信息安全D1net

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!



令人印象深刻的是,Kubernetes等容器实施和治理对象使企业能够自动化应用轨范安置的各个方面,从而带来惊人的生意收益。另一方面,跟着IT团队对安置Kubernetes越来越感情趣,恶意冲击者对损坏Kubernetes集群也越来越关注。


所有优点相关者预先介入一个构造精巧的规划,这是构建更安然的容器情形的第一步。


如今,容器仍然是应用轨范安置和迁徙的主流手艺。行业专家Paul Rubens将其分化为可以懂得的几个部门——陷阱、容器治理系统、安然性等等。是以,现在人们已经找到了加倍靠得住和有效的体式来跨平台安置和扩展软件,但它也为恶意冲击者供给了行使这些容器的体式。


在以前几年中,虽然在容器及其编排系统(如Kubernetes)的安然性方面取得了一些重大改善,但也发现了几个首要的马脚。


令人印象深刻的是,Kubernetes等容器实施和治理对象使企业能够自动化应用轨范安置的各个方面,从而带来惊人的生意收益。另一方面,跟着IT团队对安置Kubernetes越来越感情趣,恶意冲击者对损坏Kubernetes集群也越来越关注。


跟着Kubernetes的采用和安置的增进,安然风险也会随之增加。这获得了安然专家的遍及认同。比来在云角力和移动斥地空间中发生了多起冲击事件,这包括从休止、加密挖掘、勒索软件到数据窃取的所有内容。


当然,这些类型的安置与传统情形一样随意受到外部冲击者和具有恶意的内部人员的冲击。是以,更首要的是确保大型Kubernetes情形具有正确的安置系统组织,并为所有这些安置使用安然最佳实践。


跟着Kubernetes被遍及采用,它成为威胁行为者的首要方针。Aqua Security公司首席手艺官Amir Jerbi透露,“跟着Kubernetes的采用率迅速上升,人们或许会发现以前未被留意到的差距,另一方面因为更高的知名度而受到收集冲击者的更多关注。


自2015年以来,发现了一些关键和显著的马脚,使安然和斥地人员对其规划和安置架构必需小心郑重。一些更严重的缺陷许可对运行在Kubernetes集群中的任何节点进行完全的治理员接见,这将许可黑客注入恶意代码、损坏整个集群情形或窃取敏感数据。


集群安然性


在集群安然性方面,有几点需要考虑。容器的动态组合在Kubernetes情形中带来了安然挑战。在考虑集群安然性时要考虑的关键事项是:


•因为每个容器中存在各类马脚,稀奇是在使用容器编排体式(如Docker和Kubernetes)时,冲击面上的马脚被行使。


•需要监控的器材向流量增加,尤其是在主机和云角力情形中。


•安然团队能够确保安然自动化与络续改变的容器情形贯穿同步。


•对安置过程和Kubernetes Pod本身的可见性,包括它们若何进行交叉通信。


•用于在容器之间的器材向通信中检测恶意行为的手段,包括检测单个容器或容器内的马脚行使。


•使用最佳接见安然实践,审查/规划和记录Kubernetes集群,以便更好地熟悉内部威胁。


安然流程的简化也非常首要,这样它就不会减慢或阻碍应用轨范/斥地团队的工作。对于整个组织以及更大局限内的容器化安置,企业需要考虑的一点是,确保削减审批时间的安然过程。此外,必需简化安然警报过程,并能够轻松识别最首要的冲击。最后,企业的Kubernetes情形需要为收集连结和特定容器正确安置分段。


企业采用Kubernetes的安然风险


如前所述,跟着这些对象的普及,冲击者行使这些对象的风险增加。某些马脚的风险承受能力因规模、复杂水平宁情形而异。


然则,要留意的首要安然风险包括:


•Kubernetes情形中的冲击或许是由外部人员或内部人员提议的,无论是有意照样无意(常日是收集钓鱼冲击)。


•当忽略应用轨范马脚或错误设置时,容器或许会受到风险,从而许可威胁介入者进入,并起头追求进一步接见和更大的休止。


•因为受损容器而未经授权的Pod连结考试接见其他或沟通主机上的其他Pod。收集监控和过滤的类型需若是第7层,以便检测和阻止对可托IP地址的冲击。


•企业情形中的数据窃取,也称为“泄露”。这种类型的冲击有多少种安置和隐藏体式,并经由收集地道来隐藏泄露。


•行使Kubernetes底细行动本身,例如Kubelet和API处事器。


•生意流程对象折中许可冲击者损坏应用轨范,并接见运行情形所需的其他资源。


Kubernetes安然性的最佳实践


俗话说,“干事,要么不做,要么全力做好”。这有时或许不那么光鲜,然则当需要更好的整体安然性时,企业需要安置具有正确概念和架构的Kubernetes,这一点尤其首要。


因为此编排对象的功能增加,Kubernetes功能和安置变得加倍风行——从用于小型安置的简练Pod系统组织或跨平台的更大规模Kubernetes集成。当然,这些安置的复杂性以及安然风险也是如斯。


以下是有关Kubernetes安置最佳实践的一些首要提醒:


•必需强制执行最低权限。使用这种类型的模型来防止遍及接见,可以在发生冲击时更好地把握冲击。最好使用内置的Pod安然策略来确定和限制Pod的功能。


•应始终安置强身份验证最佳实践,并且所有Kubernetes模块都必需进行身份验证。


•集群分段设置和安置以相同于以前最低权限的体式运行。在统一底细组织情形中使用互相星散的虚拟集群是最佳实践。


•使用容器本身的防火墙有助于在使用分段时阻止跨收集的活动。


•对或许发生的事件进行情形监控,尽管实施了最佳安然实践。有一些特定的第三方安然对象可以防止冲击的撒布,并识别企业情形中的策略违规景遇。


•定义运营、斥地、安然团队之间的角色。职责星散是一种最佳实践,应以明确的角色和责任记录在案。


需要考虑的事项


无论企业的项目和情形是多大,无论是针对特定平台迁徙的单个内部Pod照样具有多个集群的大型云安置,企业的斥地团队和安然团队在规划过程中协同工作都很首要。这包括确定适当的角色和责任,并在所有团队之间按期沟通。简而言之,所有优点相关者都介入完美的规划,这是构建更安然的容器情形的第一步。


(起原:企业网D1Net)


若是您在企业IT、收集、通信行业的某一领域工作,并进展分享概念,迎接给企业网D1Net投稿 投稿邮箱:editor@d1net.com

点击蓝色字体关注

您还可以搜刮公家号“D1net”选择关注D1net旗下的各领域(云角力,数据中心,大数据,CIO, 企业通信 ,企业应用软件,收集数通,信息安然,处事器,存储,AI人工智能,物联网伶俐城市等)的子公家号。

企业网D1net已推出企业应用市肆(www.enappstore.com),面向企业级软件,SaaS等供给商,供给陈列,点评功能,不介入生意和交付。现可免费入驻,入驻后,可获得在企业网D1net 响应公家号介绍的机会。迎接入驻。
扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入

信息安全D1net微信号:扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 今天我们不讲历史故事

    京东图书5月30日22:00至31日22:0023.8元秒杀价,迎接点击购置▼相当多的孩子不爱读历史,一上历史课就昏昏欲睡,认为学历史就是“背书拿分”。历

  2. NO.2 Steam免费!优惠福利!鬼泣5首次限时打折!动作天尊直降100多 突突突让你一贯爽

    喜欢我的都关注我了~Remember you're not alone, I will be here, standing beside you.鬼泣5特价促销,标准版原价325元,现在打折只要214元,这代价实在太实惠了。豪

  3. NO.3 球星总决赛首秀,最牛逼的必需是他!

    32+8+5,西亚卡姆的首秀十分惊艳连续11个运动战进球,近20年总决赛最长记载第一次打总决赛,就有这个示意,太厉害了!接下来,我们去看看NBA的球

  4. NO.4 华为封杀十天之后,美国又对中国出手了,可背后原因却让人气到想笑...

    这两天一个段子被多少人转发:先是中兴,再是华为,再是大疆,美国提议与深圳市南山区粤海街道办科技园区之间的贸易战。这虽说是一个段子,

  5. NO.5 金牛座在六月也太太太太旺了吧!

  6. NO.6 詹姆斯:你们说三巨头好照样两超巨好?

    幻想景遇而论:湖人是组包括浓眉和顶薪自由球员的三巨头模式好照样只要双巨头加实力角色球员的声威好?(Bleacher Report):湖人今夏选秀,自由

  7. NO.7 星座屋一周整体运势(5.26—6.1),谁是好运top3?

    编纂 | 33图片 | 星座屋原创声明 | 本图文为原创内容,转载请标明出处

  8. NO.8 2019年“爸爸裤”火了!比短裤时髦,比阔腿裤凉快!

    导语 “ 爸爸裤 ” 时髦升级 ! 比阔腿裤更洋气 !总有小仙女问我:女生夏天穿什么衣服超好看?这个问题你们是问对人了,让我来敷陈你们,那当

Copyright 2019 三金网,让大家及时掌握各行各业第一手资讯新闻!