蓝盟IT小贴士,来喽!
集装箱和Kubernetes带来了新的、独特的安全视角。 他们希望团队重新思考自己传统的安全战略,摆脱单一或瀑布般粗放的方法,打破安全工作中“后手”般的被动属性。
有些人把这种趋势称为“左移”思维模式。 这意味着在软件开发生命周期或CI/CD管线的起点尽可能地引入安全因素。 同样重要的是,这种变革严重依赖于自动化,要求尽早、频繁地检测和修复问题,而不是在重大问题出现之前进行事后补救。
在这场激烈的变革中,容器化和编织工具的结合有助于提高安全性和合规性。
“像Kubernetes这样的平台最大的优点之一是在安全和法规遵从性领域高度自动化,并且大大增强了配置功能。 通过自动化这些流程和工具,IT团队可以随时随地准确衡量Kubernetes环境的安全性和整体风险。 ”
左思也有助于实施安全策略,也有助于改善合规性。 Dang解释说:“策略的执行可以分布在包括CI/CD管道、部署期或运行期在内的各个检查点,组织工具根据实际要求提供优异的可扩展性和可靠性。”
接下来,让我们看一下通过容器化和组织工具提高安全性和法规遵从性自动化水平的三条重要路径。
保证良好的配置观察能力
自动化已成为确保安全和合规性的重要手段,包括自动管理存储在专用注册表中的容器镜像及其安全策略,以及构建或纳入自动化安全测试的持续集成过程。
Kubernetes提供了丰富的安全相关功能,包括基于角色的访问控制、命名空间和其他功能。 但是,如上所述,盲目依赖默认的结构是不可取的。 “Kubernetes是一个复杂的系统,包含许多配置和选项。 其中一些存在安全隐患,即使在默认状态下也可能会引起严重风险。 ”
只有适当配置这些功能,才能借助容器和组织工具的力量实现安全性和合规性的自动化。 在这样的用例中,以Red Hat OpenShift等开源项目为基础构建的业务平台经常会带来重要的好处。
Dang还说:“这样,安全最佳做法就可以在整个Kubernetes的各个级别上自动应用——,包括集群级别、命名空间级别、部署/服务级别和pod级别利用自动化机制提高发现和策略的执行能力
正如许多朋友已经熟知的声明式、自动化基础设施操作方法一样,大家也可以在安全领域采取相同或类似的操作。 如上所述,它们对于容器安全和Kubernetes安全也是不可缺少的。
Dang说:“他们强调这些环境可以通过声明性API工作,在基础架构配置过程中实现安全设置,并在APP构建和部署过程中始终提供安全保护。”
也就是说,“代码管理模式”据此与安全领域展开相融合。
欧盟Vector公司的CTO Gray Duan认为:“希望Kubernetes合规性和安全性自动化的企业应该尽可能将安全策略——代码和行为学习(或机器学习)结合起来。” 该技术策略有助于支持安全“左移”的思路,有助于在APP开发早期引入工作负载安全策略,立足于整个生产过程实现环境保护。 ”
Duan还在安全和法规遵从性领域共享了几个“应该”的情况。 首先是在运行时自动执行安全漏洞扫描。 Duan说:“在实施Kubernetes合规性和安全性自动化时,必须在运行时执行漏洞扫描——。 不仅需要扫描容器,还需要扫描主机,甚至是Kubernetes本身。 ”。
二是自动网络分割。 事实上,网络段是某些行业所需的合规要求,必须强制执行。
越来越多的企业需要组织和管理合规报告,自动化的网段也开始在许多行业的合规标准中成为主流。 例如,管理支付过程的PCI DSS安全标准要求在持卡人数据环境内外的流量之间设置网络段和防火墙。 在Duan看来,我们无法手动调整防火墙规则,以应对新的、不断发展的集装箱化的环境威胁。 “因此,许多法规当然要求在业务环境中自动执行运行时扫描和合规性检查。 ”
Kubernetes操作员是安全自动化领域的新工具。 “最酷的是,可以使用Kubernetes操作员管理Kubernetes本身,从而更容易提供安全部署并实现自动化。 例如,操作员可以有效地管理配置漂移,或者使用Kubernetes声明机制重置和更改不支持的配置。 ”
按照基准进行持续测试,建立自动化测试体系请记住,根据设计要求,即使配置正确,容器化的工作负载和运行的基础架构也不是静态的。 由于这些环境是非常动态的,所以必须将安全保障视为持续的实践。
Dang说:“合规检查也可以自动化。 只有这样,才能准确评估当前环境对各种标准和行业标准的遵从性。 ”。
从安全性和合规性的角度看,Kubernetes环境中最有名的检验/复检标准之一是CIS Kubernetes基准。 这是一个免费列表,包括约200个设置和安全配置最佳实践。
虽然该清单系统很全面,但企业几乎不可能根据内容的要求手动定期检查动态环境。 幸运的是,目前市面上现成的工具可以自动高效地完成这项工作。
Aqua开发的kube-bench是免费的开源工具,可以根据CIS Kubernetes基准测试自动检查环境。 事实上,目前《CIS指南》是一个重要的运营前提,redhatopenshiftcontainerplatform 4根据该条目为用户选择了合作伙伴工具。 在kube-bench的帮助下,企业可以持续检查自身的安全状况,以防止集群脱离合规要求。
NeuVector还提供了基于最佳实践自动检查Kubernetes安装的免费开源脚本。
同样还有来自Aqua的开源kube-hunter工具,可以根据已知的漏洞对集群进行模拟攻击。
据Osnat称,“如果说CIS基准关注单一设置及其对整体安全状况的影响,kube-hunter通过使用几十种已知的攻击向量对集群进行渗透测试,补充了安全性模拟攻击集群,验证集群是否能够承受已知的各种攻击手段。 另外,为了迅速修复发现的安全漏洞,还提供了关于更改设置的建议。 ”
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
