Kubernetes 運行資安保障

在過去的十年中,容器化工作負載和 Kubernetes (K8s) 席捲了軟體世界。 不幸的是,隨著 Kubernetes 成為企業架構的主要組成部分,它也成為威脅參與者的高價值目標。

一般來說,容器安全,特別是Kubernetes 安全,是當今企業安全態勢的一個基本面向。 本文將探討 Kubernetes 運行時安全性,這是 K8s 安全性最關鍵的方面之一,包括七個基本的 K8s 運行時安全最佳實踐。

申請示範 深入瞭解

什麼是 Kubernetes 運行時安全性?

Kubernetes 執行時期安全性是一組保護Kubernetes上執行的容器工作負載的工具、實務和技術。

換句話說,Kubernetes運行時安全性是工作負載保護和容器安全的一個子類別。 Kubernetes 運行時安全性涉及從容器實例化到終止的安全性。 這意味著運行時安全性包括容器是否以 root 身分運行(它們不應該!)等內容,但不涵蓋容器映像掃描等主題。

Kubernetes 運行時安全挑戰與風險

由於當今 K8 上運行的應用程式類型非常多,因此容器或 Kubernetes 不存在一刀切的運行時安全風險。 然而,大多數企業都面臨一系列常見的 Kubernetes 運行時安全挑戰。

以下是與 Kubernetes 上運行時容器安全相關的四種常見安全風險:

  • 權限升級:威脅參與者取得 K8s 環境的存取權限並升級到更高權限的使用者(例如 root)是典型的 Kubernetes 執行時間安全威脅。
  • K8 和容器中的脆弱性:即使容器本身沒有惡意,它們通常容易受到具有已知漏洞的 CVE 的攻擊。

本機 Kubernetes 運行時安全工具

Kubernetes 提供了一組有限的本機工具和控件,可以限制運行時風險。 這些包括:

  • Secrets :K8s Secrets 是儲存應用程式開發介面金鑰或密碼等資訊的資料物件。 使用 Secrets 可以幫助企業將敏感資料排除在鏡像和 Pod 規範之外。
  • 存取控制器:使用 K8s 准入控制器,企業可以限制 Kubernetes 應用程式開發介面端點的修改(但不能讀取)。
  • 網路策略: Kubernetes 網路政策類似傳統的 ALLOW 和 BLOCK 防火牆規則,在網路和傳輸層強制執行策略。
  • 審核日誌:審核日誌提供有關叢集中發生的操作的詳細資訊。 例如,可以審核應用程式開發介面活動。 這些日誌可以分析和偵測惡意行為。
  • RBAC :基於角色的存取控制(RBAC)允許管理員根據實體的角色限制 K8s 應用程式開發介面的存取。

由於原生 Kubernetes 執行時期安全工具無法直接解決即時威脅偵測等用例,因此許多企業依賴更強大的工作負載保護工具。

7 個 Kubernetes 運行時安全最佳實踐

這六個 Kubernetes 運行時最佳實踐可以幫助企業限制許多 K8s 安全威脅。

  1. 不要以 root 身分執行容器:以 root 身分執行容器會導致威脅行為者進行權限升級攻擊。 只要不以 root 身分運作就可以減輕許多威脅。
  2. 審計和自動化容器配置:公開暴露本應保密的資料或使資料庫實例面向互聯網是可能導致違規的錯誤配置的例子。 使用基礎架構即程式碼(IaC) 審核配置和自動化配置部署是限制風險的好方法。
  3. 鎖定網路層:除了 K8s 網路策略和 RBAC 之外, IPS/IDS和 NGFW 等網路安全工具可以在威脅到達工作負載之前偵測和預防威脅。 此外,企業應盡可能避免暴露 Docker 守護程式套接字。
  4. 避免特權模式:就像不以 root 身分執行容器一樣,企業應該避免使用 –privileged 標誌來執行容器。 –privileged 標誌允許容器繞過各種確保系統安全的檢查。
  5. 盡可能使用唯讀檔案系統:唯讀檔案系統可防止威脅行為者將惡意軟體直接寫入容器的檔案系統。 這可能會限制威脅行為者執行漏洞的能力。
  6. 僅執行受信任的容器映像:一旦管理員實例化受損的映像,公共儲存庫就可能威脅容器執行時間環境中的安全。 只有使用可信任的容器鏡像才能幫助企業限制公共鏡像庫鏡像的風險。
  7. 保護核心層級:SELinux、cgroups 和 AppArmor 等解決方案可以為 Kubernetes 執行時期安全性添加一層保護。 例如,AppArmor 可以定義限制對各種核心資源的存取的策略,以降低應用程式利用它們不應存取的系統功能的風險。

左移補充了有效的 Kubernetes 運行時安全性

當然,任何安全方面都不存在於真空中。 運行時安全性很重要,但安全性早在容器實例化之前就開始了。 前面提到的一些 Kubernetes 運行時安全最佳實踐已經清楚地表明了這一點,而左移安全性的概念則說明了這一點。 在開發生命週期的早期整合安全性並透過強大的運行時保護來實現兩全其美。

具有 CloudGuard 工作負載保護的 Kubernetes 運行時安全性

CloudGuard 工作負載保護是一個平台,可提供企業 Kubernetes 容器和無伺服器功能所需的端對端保護和集中管理。

CloudGuard 工作負載保護的優點包括:

  • 跨應用程式的零信任安全性:保護 Kubernetes 容器、應用程式開發介面和無伺服器功能。
  • 自動部署安全性配置:自動定義和部署安全性策略,以降低人為錯誤和錯誤配置的風險。
  • 多雲端和混合雲端支援:確保跨雲端和本地的安全性。
  • 容器鏡像掃描:在實例化之前偵測易受攻擊或惡意的容器。
  • 即時事件偵測:智慧型偵測惡意行為可以在威脅造成損害之前阻止它們。
  • 無伺服器功能的行為防禦:無伺服器的資安保障需要上下文,行為防禦可以智慧偵測無伺服器功能的惡意使用。

要了解有關 CloudGuard 工作負載保護的更多信息,請立即報名參加容器安全演示。 在演示中,您將了解關鍵的容器安全概念,例如 IaC 掃描、自動運行時保護和跨所有雲端的安全性。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明