確保Kubernetes安全的三個階段:構建、部署和運行時!
譯文【51CTO.com快譯】
Kubernetes安全是許多組織面臨的問題。TechRepublic在2020年發表的一篇報告顯示,94%的受訪者表示,其組織在過去12個月遇到過涉及Kubernetes和容器環境的安全事件。近一半(44%)的組織通過延遲將應用程序部署到生產環境來應對這些事件。
這些發現表明,對于力求將容器和Kubernetes應用程序部署到生產環境的組織來說,安全是優先事項,而且需要繼續是這樣。為了盡可能順暢地部署,組織要了解整個應用程序開發生命周期的安全和合規要求。這意味著將安全集成到容器生命周期的三個階段:構建、部署和運行時。
第一個階段:構建
應用程序開發生命周期的構建階段中存在的漏洞在運行時可能變得更難修復,且成本更高。這就是為什么組織在構建階段關注容器安全很重要。它們可以通過遵循這幾個安全最佳實踐來做到這一點:
- 構建安全映像:這里要記住的重要一點是,使容器盡可能簡單。組織應避免使用擁有OS軟件包管理器或外殼的容器映像。這種類型的資源可能含有漏洞,因而使攻擊者有可能趁機而入。它們還應努力從容器中刪除調試工具及其他不必要的組件,這些程序中的缺陷也可能向惡意攻擊者敞開大門。
- 盡量縮小攻擊面:組織需要認真查看容器的必要元素。為此,它們應確保運行最新版本的容器。這么做將有助于盡量減少漏洞的出現。此外,它們應利用映像掃描工具掃描容器以查找潛在的安全漏洞。該工具應能夠掃描OS軟件包和第三方運行時庫中的漏洞,以查找容器化應用程序所使用的語言類型。如果該工具檢測到漏洞,組織應利用漏洞管理工具優先考慮適當的修補程序。如果組織認為某個漏洞沒必要(立即)修復,還可以選擇使用白名單規則,確保該漏洞沒有影響安全團隊。
第二個階段:部署
組織需要在部署Kubernetes基礎架構之前做好保護。這項工作應先確保組織對其網絡有足夠的可見性。Help Net Security(https://www.helpnetsecurity.com/2019/06/17/runtime-container-security/)闡明了可見性對于確保容器安全的重要性:
通過深入的可見性和保護來保護網絡至關重要,因為網絡是防止惡意攻擊者接觸工作負載的第一道防線。同時,網絡是保護數據以免泄露的最后一道防線。在這第一道防線和最后一道防線之間,網絡可見性和適當的網絡控制可以防止內部東西向流量內的攻擊不斷升級。
在可見性方面,除了具體了解能訪問哪些資源外,組織還要具體了解每種資源部署在哪里、如何部署。然后,它們可以利用網絡策略來調整在Pod和集群之間傳輸的流量。正如Kubernetes在官網上指出,默認情況下pod不是隔離的,因此可以接受來自任何來源的流量。幸好,組織可以通過創建網絡策略來限制這些通信流。
組織也不應忘記在部署階段掃描映像。一旦獲得了這些掃描的結果,就要對其采取行動。比如說,如果容器映像缺少掃描結果或存在已知漏洞,組織可以使用那些掃描的結果以及準入控制器來拒絕部署應用程序。
第三個階段:運行時
最后但并非最不重要的一點是,組織需要在運行時階段致力于容器安全。在此階段,可見性和映像掃描仍然很重要。但是組織需要記住一些重要的差異。StackRox介紹了映像掃描在構建階段和運行時階段之間有何區別(https://www.stackrox.com/post/2020/04/container-image-security-beyond-vulnerability-scanning/):
在生產系統上運行時,可以利用生成和編譯應用程序所使用的構建工具。請記住,應將容器視為暫時的臨時實體。切勿計劃“打補丁”或更改運行中的容器。構建新映像,并替換過時的容器部署。使用多階段Dockerfile,使軟件編譯遠離運行時映像。
同樣,組織可以確保其運行時容器安全的唯一方法是確保網絡上的異常行為無處隱藏。 Help Net Security解釋,因此,組織需要能夠在第7層檢查網絡數據包。這么一來,組織還將能夠利用深度數據包檢查(DPI)及其他類型的技術,有助于發現更狡猾的攻擊。
原文標題:Build, Deploy, Runtime: The 3 Stages of Kubernetes Security,作者:David Bisson
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
