實施Kubernetes以實現多云架構安全
本文轉載自微信公眾號「 新鈦云服 」,作者喬冰誠 翻譯。轉載本文請聯系 新鈦云服 公眾號。
保護云工作負載在多云環境中變得更加復雜,原因有三點。首先,安全功能因提供程序而異。例如,Azure Sentinel與AWS CloudTrail不同。
其次,實施安全策略(例如如何訪問日志,記錄什么類型的數據或門戶網站對資源的管理訪問權限)在提供商之間有所不同。
第三,運營安全任務也取決于提供商,并要考慮服務產品中的細微差別。因此,當工作負載直接使用基礎安全服務時,可能會發生鎖定。
為減少這些挑戰,IT領導者可將業務流程納入組織的多云策略中。Kubernetes是一種流行的開源容器編排系統,可用于管理云工作負載,并在云提供商的本機安全服務與其客戶的安全策略目標之間提供抽象層。
在某些情況下,多云編排工具還可以通過在訪問和使用安全服務的方式上實施標準化來減少鎖定。
另外,在適當的情況下,這些用例中的每一個都具有潛在的安全益處。在這里,了解Kubernetes如何為多云安全規劃增加價值,以及如何評估和選擇正確的部署選項。
Kubernetes在多云環境中的安全優勢
Kubernetes安全價值主張的基礎來自其作為自動執行常見管理挑戰的框架的功能。例如,在部署VM或應用程序容器時,業務流程管理置備,取消置備和按需資源擴展,以及工作負載先決條件和依存關系,例如機密管理。
要了解Kubernetes對于多云架構的價值,請考慮商店信用卡和銀行信用卡之間的區別。商店卡可提供其他功能,例如增加折扣和會員計劃,但僅限于一家商店。或者,普通卡使持卡人可以在任何地方購物,但無法獲得部分或全部額外利益。
編排提供程序在其產品中包含一些安全性至關重要的元素,例如,對存儲的機密信息實施適當的機密性,確保對機密信息和工作負載的訪問控制適當,并驗證是否為新的工作負載配置了適當的配置。
編排平臺的內置安全功能為組織提供了云提供商本機功能的替代方案,更重要的是,編排平臺可以理解的功能為組織提供了替代方案。這減少了供應商鎖定,因為未直接調用提供程序的本機安全服務。
在大多數情況下,組織可以重新部署基礎架構,而不必重新實現基礎服務,而是可以移至其他提供商的實現。因此,可以按需要以工作負載不可見的方式換出基礎實現。
同樣,如果工作負載移動,則可以輕松地將支持直接與業務流程平臺進行交互的自動化支持,度量標準和自定義工具重定向到其他環境,前提是這些功能受平臺本地支持。
如何在多云架構中部署Kubernetes
在決定使業務流程適應其多云安全策略時,組織需要建立最佳方法。這涉及三個主要步驟:定義范圍,了解部署選項和選擇部署模型。
定義范圍
首先,確定多云編排工具用例-例如:
- 一個與許多云托管環境對比。組織是否需要僅支持一個提供商或在不同提供商處提供多種服務?
- 混合環境。本地和托管云環境都需要支持嗎?
- 混合容器和VM環境。是用于VM和容器的相同編排服務,還是僅用于兩者之一?
了解部署選項
定義范圍后,IT主管需要確定適合組織需求和用例的正確部署模型。比較三個主要的部署模型-托管的Kubernetes服務,開源模型和自己構建的模型-以及每個模型的功能,然后再做出決定。
1. 托管的Kubernetes服務。 許多公共云提供商在其服務集中提供了Kubernetes編排功能,包括Amazon Elastic Kubernetes服務(EKS),Azure Kubernetes服務(AKS)和Google Kubernetes Engine(GKE)。
這些使組織能夠使用即服務型方法直接將其配置到他們的服務中,從而減輕了內部設置和配置Kubernetes的負擔。
2.開源。Kubernetes Operations(kOps)等開放源代碼選項以及與之對應的商業選項使組織能夠將工作負載供應自動化到云環境中。
諸如AWS Fargate之類的工具可以跨云托管平臺工作,也可以在虛擬私有云或內部部署到本地Kubernetes部署中。
3. 自己動手。組織可以將編排軟件自己部署到提供商的彈性計算環境中。
選擇部署模型
在保護多云的正確部署選項上達成共識將取決于組織的目標,環境和安全性目標。
托管的Kubernetes服務(例如EKS,AKS和GKE)可實現快速部署。使用幕后的標準化編排機制,這些服務可促進提供程序之間工作負載的可移植性,但在某種程度上會鎖定供應商,這通常是因為云服務提供程序將基礎工具包裝在唯一的管理界面中。
這可以使習慣于云提供商的管理UI和安全模型的安全運營人員受益,但是當試圖對來自不同提供商的多個競爭服務之間的管理視圖進行標準化時,這種方法就不是最佳選擇。
與云無關的選項(例如kOps和商業選項)可以彌補多云環境中托管的Kubernetes服務的某些缺點。但是請記住將支持哪些提供程序和哪些服務。
目前,kOps支持AWS,beta形式的Google Compute Engine和alpha形式的Azure。IT領導者需要仔細評估建議的使用情況,以確保根據組織的服務提供商使用情況配置文件支持所選工具。
自己動手選件可提供最大程度的靈活性,因為任何定制開發的工具都將具有最大的便攜性。這種方法的缺點是,它需要更多的經驗,對平臺的敏銳度以及部署和維護該平臺的運營人員的時間投入。
歸結為,針對任何特定組織的正確決策將根據其要求和用途而有所不同。與其他任何計劃任務一樣,請提前了解這些需求是什么,并根據部署選項系統地對其進行分析,以找到最佳方法。
原文鏈接:https://searchcloudsecurity.techtarget.com/tip/Implement-Kubernetes-for-multi-cloud-architecture-security
