如何使用Kubernetes實(shí)現(xiàn)安全合規(guī)自動(dòng)化?
容器與Kubernetes帶來了新的、獨(dú)特的安全審視角度。它們促使團(tuán)隊(duì)重新考量自己的傳統(tǒng)安全策略,擺脫單一或瀑布式的粗放方法,希望破除安全工作“馬后炮”式的被動(dòng)屬性。
有些人將這種趨勢(shì)稱為“左移”思維模式,代表著我們會(huì)盡可能將安全因素部署在軟件開發(fā)生命周期或CI/CD管道的起點(diǎn)位置。同樣重要的是,這種轉(zhuǎn)型將高度依賴于自動(dòng)化,要求我們盡早且頻繁檢測(cè)并修復(fù)問題,而不再等到嚴(yán)重問題發(fā)生時(shí)再進(jìn)行事后補(bǔ)救。
在這場(chǎng)轟轟烈烈的轉(zhuǎn)型中,容器化加編排工具的組合將助力提升安全性與合規(guī)性。
Stackrox聯(lián)合創(chuàng)始人兼首席戰(zhàn)略官Wei Lien Dang表示,“像Kubernetes這樣的平臺(tái),最大的優(yōu)勢(shì)之一就是能夠在安全性與合規(guī)性領(lǐng)域?qū)崿F(xiàn)高度自動(dòng)化,大大增強(qiáng)配置能力。這些自動(dòng)化流程與工具能夠幫助IT團(tuán)隊(duì)隨時(shí)隨地準(zhǔn)確衡量Kubernetes環(huán)境的安全狀況與整體風(fēng)險(xiǎn)。”
左移思維還能在安全策略的實(shí)施當(dāng)中發(fā)揮作用,這同樣有助于改善合規(guī)性。Dang解釋道,“策略的執(zhí)行將可分布在各個(gè)檢查點(diǎn)當(dāng)中——包括CI/CD管道、部署或運(yùn)行期間,并由編排工具根據(jù)實(shí)際要求提供良好的可擴(kuò)展性與可靠性。”
下面,我們一起來看通過容器化與編排工具提高安全/合規(guī)自動(dòng)化水平的三條關(guān)鍵路徑。
保證擁有良好的配置觀察能力
自動(dòng)化已經(jīng)成為保障安全性與合規(guī)性關(guān)鍵手段,具體用例包括自動(dòng)管理存儲(chǔ)在私有注冊(cè)表內(nèi)的容器鏡像及其安全策略,以及將自動(dòng)化安全測(cè)試納入構(gòu)建或持續(xù)集成的流程當(dāng)中等。
Kubernetes自帶一組豐富的安全相關(guān)功能,涵蓋基于角色的訪問控制、命名空間及其他功能。但如前文所述,盲目仰仗默認(rèn)配置并不可取。Aqua Security公司戰(zhàn)略副總裁Rani Osnat表示,“Kubernetes是一套復(fù)雜的系統(tǒng),包含大量配置與選項(xiàng)。其中一部分可能存在安全隱患,甚至在默認(rèn)狀態(tài)下會(huì)造成重大風(fēng)險(xiǎn)。”
只有正確配置這些功能,我們才有可能借助容器與編排工具之力達(dá)成安全性與合規(guī)性自動(dòng)化。對(duì)于這方面用例,Red Hat OpenShift等以開源項(xiàng)目為基礎(chǔ)構(gòu)建而成的商業(yè)平臺(tái)往往會(huì)帶來重要助益。
Dang還指出,“這樣,安全最佳實(shí)踐將可以在整個(gè)Kubernetes的各個(gè)層級(jí)上自動(dòng)應(yīng)用——包括集群層級(jí)、命名空間層級(jí)、部署/服務(wù)層級(jí)以及pod層級(jí)等等。”
借自動(dòng)化機(jī)制提高檢測(cè)與策略執(zhí)行能力
與很多朋友已經(jīng)熟知的聲明式、自動(dòng)化基礎(chǔ)設(shè)施操作方法一樣,大家在安全領(lǐng)域也可以采取相同或者類似的操作。如上所述,這些在容器安全與Kubernetes安全當(dāng)中同樣不可或缺。
Dang表示,“這些環(huán)境強(qiáng)調(diào)以聲明式API進(jìn)行操作,能夠在基礎(chǔ)設(shè)施的配置期間實(shí)現(xiàn)安全設(shè)置,并在應(yīng)用程序的構(gòu)建與部署流程中始終提供安全保護(hù)。”
換言之,“即代碼管理模式”將由此與安全領(lǐng)域展開融合。
NeuVector公司CTO Gray Duan認(rèn)為,“希望實(shí)現(xiàn)Kubernetes合規(guī)性與安全性自動(dòng)化的企業(yè),還應(yīng)盡可能將安全策略即代碼與行為學(xué)習(xí)(或者機(jī)器學(xué)習(xí))結(jié)合起來。這項(xiàng)技術(shù)策略有助于支持安全性“左移”的思維模式,幫助我們?cè)趹?yīng)用程序開發(fā)早期引入工作負(fù)載安全策略,立足整個(gè)生產(chǎn)過程實(shí)現(xiàn)環(huán)境保護(hù)。”
Duan還分享了安全性與合規(guī)性領(lǐng)域的幾個(gè)“應(yīng)該”案例,一馬當(dāng)先的就是在運(yùn)行時(shí)中自動(dòng)執(zhí)行安全漏洞掃描。Duan提到,“在實(shí)施Kubernetes合規(guī)性與安全性自動(dòng)化時(shí),我們需要在運(yùn)行時(shí)中執(zhí)行漏洞掃描——不只是掃描容器,還需要掃描主機(jī)乃至Kubernetes本身。”
第二點(diǎn)則是自動(dòng)網(wǎng)絡(luò)分段。事實(shí)上,網(wǎng)絡(luò)分段在某些行業(yè)中屬于必要的合規(guī)性要求,需要強(qiáng)制加以執(zhí)行。
越來越的企業(yè)需要組織合規(guī)報(bào)告并加以管理,而自動(dòng)化網(wǎng)絡(luò)分段也開始在眾多行業(yè)的合規(guī)性標(biāo)準(zhǔn)中成為主流。例如,管理支付處理的PCI DSS安全標(biāo)準(zhǔn)就要求在持卡人數(shù)據(jù)環(huán)境內(nèi)外的流量之間設(shè)置網(wǎng)絡(luò)分段和防火墻。在Duan看來,我們根本無法以手動(dòng)方式調(diào)整防火墻規(guī)則,借以應(yīng)對(duì)新的、不斷發(fā)展的容器化環(huán)境威脅態(tài)勢(shì)。“正因?yàn)槿绱耍芏喾ㄒ?guī)理所當(dāng)然地要求在業(yè)務(wù)環(huán)境中執(zhí)行自動(dòng)化運(yùn)行時(shí)掃描與合規(guī)性檢查。”
Kubernetes操作器則是安全自動(dòng)化領(lǐng)域的一類新興工具。Red Hat安全策略師Kirsten Newcomer向我們解釋道,“最酷的一點(diǎn)在于,您可以使用Kubernetes操作器來管理Kubernetes本身,從而更輕松地交付并自動(dòng)處理安全部署。例如,操作器能夠高效管理配置漂移、使用Kubernetes聲明機(jī)制來重置和更改不受支持的配置。”
按照基準(zhǔn)進(jìn)行持續(xù)測(cè)試,建立自動(dòng)化測(cè)試體系
即使配置正確,大家也必須記住一點(diǎn):根據(jù)設(shè)計(jì)要求,容器體化工作負(fù)載以及運(yùn)行所處的基礎(chǔ)設(shè)施并非靜態(tài)不變。這些環(huán)境高度動(dòng)態(tài),因此必須將安全保障視為一種持續(xù)性實(shí)踐。
Dang提到,“合規(guī)性檢查也可以自動(dòng)化,只有這樣才能準(zhǔn)確評(píng)估當(dāng)前環(huán)境對(duì)于各類基準(zhǔn)及行業(yè)標(biāo)準(zhǔn)的遵循情況。”
從安全性與合規(guī)性的角度來看,Kubernetes環(huán)境中最著名的檢查(及重新檢查)標(biāo)準(zhǔn)之一當(dāng)數(shù)CIS Kubernetes基準(zhǔn)。這是一份免費(fèi)清單,包含約200項(xiàng)設(shè)置與安全配置最佳實(shí)踐。
這份清單系統(tǒng)且全面,但同時(shí)也令企業(yè)幾乎不可能手動(dòng)按照內(nèi)容要求定期檢查動(dòng)態(tài)環(huán)境。好消息是,目前市面上的現(xiàn)成工具能夠自動(dòng)高效地完成這項(xiàng)工作。
Aqua開發(fā)的kube-bench是一款免費(fèi)開源工具,能夠根據(jù)CIS Kubernetes基準(zhǔn)自動(dòng)檢查您的環(huán)境。事實(shí)上,目前CIS指南已經(jīng)成為一項(xiàng)重要的運(yùn)營(yíng)前提,Red Hat OpenShift Container Platform 4就專門根據(jù)其中的條目為用戶選擇了合作商工具。在kube-bench的幫助下,企業(yè)能夠持續(xù)檢查自己的安全狀況,確保集群不致偏離合規(guī)性要求。
NeuVector也提供一組免費(fèi)開源腳本,可根據(jù)最佳實(shí)踐自動(dòng)檢查Kubernetes的安裝情況。
同樣來自Aqua的還有一款開源kube-hunter工具,可根據(jù)已知漏洞對(duì)集群發(fā)動(dòng)模擬攻擊。
Osnat指出,“如果說CIS基準(zhǔn)測(cè)試關(guān)注的是單一設(shè)置及其對(duì)整體安全狀況產(chǎn)生的影響,那么kube-hunter就是通過數(shù)十種已知攻擊向量對(duì)您的集群發(fā)動(dòng)滲透測(cè)試,借此實(shí)現(xiàn)安全性補(bǔ)充。它會(huì)模擬攻擊您的集群,驗(yàn)證集群是否抵御得住各種已知的攻擊手段。它還提供關(guān)于設(shè)置的變更建議,幫助大家快速對(duì)所發(fā)現(xiàn)的安全漏洞施以補(bǔ)救。”
最后,開源陣營(yíng)還有另外一位新成員——同樣來自Aqua的Starboard,一款面向Kubernetes安裝的安全工具包。
Osnat總結(jié)道,“Starboard努力將各種工具集成到K8s的體驗(yàn)當(dāng)中,包括漏洞掃描工具、工作負(fù)載審計(jì)器以及基準(zhǔn)測(cè)試等。它基于K8s CRD(定制化資源定義)實(shí)現(xiàn),并可通過Kubernetes API進(jìn)行訪問。熟悉kubectl(K8s的原生CLI)的用戶能夠輕松從中獲取安全信息,并據(jù)此編程以進(jìn)一步提升自動(dòng)化水平。”
