確保 Kubernetes 安全合規的六個最佳實踐
當今,企業在加速應用現代化的同時,往往將 Kubernetes 安全置于次要地位。盡管這樣的風險越來越高,但我們仍需謹慎對待那些能夠緩解容器化環境威脅的安全策略。
一方面,安全措施必須足夠精準,才能滿足嚴格的合規要求,并通過審計這一關。組織必須遵守的各種法規包括 SOC 2、PCI DSS、GPDR、HIPAA 等等。與此同時,無論采用哪種安全流程,都要確保 DevOps 和開發人員的生產力不會受到影響。這是一種微妙的平衡法,容錯率極低。
為了確保在容器化環境中持續合規,而不影響生產力,請遵循以下 6 個實踐。
1. 實現自動化
市面上有許多出色的、完全開源的工具可供選擇,合適的工具能夠幫助企業實現實時威脅響應和持續在線監控,從而確保持續合規。例如,企業應將自動化漏洞掃描和安全策略即代碼(https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent)集成到流水線中。通過自動化 Kubernetes 審計日志分析工具處理日志和事件。基于機器學習的 SIEM 技術能夠快速自動識別攻擊模式。企業還應利用 CIS 基準和自定義合規核查來持續檢查 Kubernetes 配置。
2. 對 Kubernetes 本身進行保護
將 Kubernetes 本身視為攻擊面至關重要,因為攻擊者一定會這樣做。威脅越來越復雜,企業需要主動保護容器環境背后的全棧,以實現持續合規。保護措施包括:啟用自動監控、強化反攻擊手段、執行配置審計以及準備自動化緩解。除了 Kubernetes(https://www.darkreading.com/cloud/firms-struggle-to-secure-multicloud-misconfigurations),企業對任何可能受到攻擊的服務網格、托管 VM、插件或其他目標也應采取相同措施。
3. 發現攻擊就能防止攻擊
攻擊殺傷的鏈條通常從啟動無法識別的容器網絡連接或進程開始,通過寫入或更改現有文件,或者利用未受到保護的入口點,來提升其訪問級別。然后,此類惡意手段會利用網絡流量,將捕獲到的數據發送到外部 IP 地址,造成數據泄露。殺傷鏈可能會以類似的方式將 Kubernetes API 服務作為中間人攻擊的目標,通常會發起零日攻擊、內部攻擊和加密貨幣挖礦攻擊。利用 Apache Log4j 進行的攻擊也日益增多。
數據丟失防護 (DLP) 和 Web 應用程序防火墻 (WAF) 相結合的策略能夠提供檢測活躍殺傷鏈所需的可見性以及自動響應能力,在可疑的進程和流量造成破壞之前將其終止。事實上,目前許多法規的合規框架都專門要求組織具備 DLP 和 WAF 能力,以保護其容器和 Kubernetes 環境,這些框架包括 PCI DSS、SOC 2 和 GDPR。(HIPAA 也強烈建議采用 DLP。)
4. 專注于零信任
通過實施零信任模型(https://www.darkreading.com/edge/get-started-on-continuous-compliance-ahead-of-pci-dss-v4-0),企業不再被動地處理在日志分析或基于簽名的檢測中發現的威脅。零信任策略只允許經過批準的進程和流量在企業環境中活動,從而阻止所有攻擊。整個云原生技術棧,以及 RBAC 等訪問控制,都必須采取這些零信任防護措施。這樣一來,企業就確保能夠實現持續合規。
5. 利用Kubernetes 內置安全措施
Kubernetes 內置的安全功能包括日志審計、RBAC 以及由 Kubernetes API 服務器(https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/)集中進行的系統日志收集。利用這些功能來收集并分析所有活動日志,從而識別攻擊或錯誤配置。然后,通過安全補丁或者基于策略的新防護措施,來解決各種事件或不合規的運行時活動。
在大多數情況下,企業會希望進一步通過能夠實現容器應用程序安全和持續合規審計的工具來支持現有的 Kubernetes 安全措施。企業應使用內置的 Kubernetes 準入控制器(https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/),緊密協調 Kubernetes 與外部注冊請求和資源請求。這種方法可以更有效地防止應用程序部署中的漏洞和未經授權的行為。
6. 驗證云主機的安全性
托管 Kubernetes 的云平臺能夠把控自己的系統,必須確保其持續合規。然而,如果不檢查這些云托管實踐是否真正得到了充分保護,是否履行了企業自身的合規責任,那風險就太高了。事實上,許多云提供商所提供的責任共擔模式(https://www.darkreading.com/cloud/companies-need-to-keep-watch-on-cloud-data)會將保護應用程序訪問權限、網絡行為和云上其他資產的重任直接留給客戶。
實時環境中的持續合規
Kubernetes 和容器化環境極其活躍,容器創建和刪除的速度之快,讓手動安全檢查無法對其進行保護。此外,許多合規法規要求的傳統安全技術,例如,網絡分段和防火墻,在容器網絡中不起作用。
在構建、遷移和在生產環境中運行應用程序時,現代的持續開發流程會定期引入新的代碼和容器。因此,法規要求組織采用自動化實時安全防護和審計措施,以實現真正的持續合規。
原文鏈接:https://mp.weixin.qq.com/s/MQh16-PQYsjaGCjwyxIk_A
