Kubernetes网络安全与合规的5招实用技巧
由于Kubernetes动态的特性,难以使用现有工具进行保护或监控。这会对安全性和合规性控制产生重大影响。
- 边界安全(perimeter security),基于区域的安全性(zone-based security)以及静态防火墙等传统解决方案的可扩展性或灵活性不足以满足
- Kubernetes的安全控制监视工具无法涉足微服务的流量。
- 旨在提供审计跟踪(audit trails)的权限工具同样也是为静态应用程序和环境设计的,对Kubernetes无法正常工作。
- 由于微服务使用网络,因此开发、平台、网络、安全团队需要访问安全工具,以便他们能以敏捷的方式协同工作。
Kubernetes改变了我们实施安全控制的方式。以下是对这些环境实施安全性管理的一些实践建议:
1 部署你所知的
如果你不知道容器内部是什么就进行部署,这可能给你带来麻烦,特别是如果它含有易受攻击的代码。下载的容器镜像可能包含易受攻击的代码,使得运行时容器可被攻击者利用。因此,实施良好的安全管理并了解正在部署的内容究竟是什么至关重要。
容器扫描可以在一定程度上帮助筛选出含主要CVE(公共漏洞)的容器。假设你的代码完成了你希望它执行的操作,你希望确保没有人能够以你不知道的方式更改它,那就使用像Git这样的源代码控制系统。
2 确保部署合规
由于IP地址在Kubernetes环境中是短时的,因此我们需要使用其他属性来识别和审核工作负载,这可能包含与合规性控制一致的用来识别基础架构的元数据和标签。当使用标签为标识时,你可以开始附加合规性所需的安全控制。
下一步是编写与标签交互的策略。如果架构中的元素标记为PCI,那么它是哪种特定元素就变得无关紧要。无论如何,你的PCI相关政策都应自动应用。
最后,您需要强制执行策略的具体内容。开发人员以及其他任何人员不应该更改你的策略,除了安全/合规性团队。如果有人试图更改这些策略,安全/合规性团队应收到警报。
3 确保日志有意义且能持久保存
你可能拥有数千甚至数万台服务器,每台服务器都有数百个工作负载。你需要一个可以关联所有这些工作负载的解决方案,以便你可以检测平台中实际发生的情况。举个例子,你的容器需要一致的时间感,没有时间感,您的日志将不按顺序排列,导致你无法确定因果顺序。
4 拥抱Zero Trust网络安全理念
正如我们所提到的,你需要假设你的网络中会收到一个或多个攻击。相应的行动意味着在你需要在pod和主机内外实施多个执行点。如果单个执行点受到攻击,则感染将无法危及安全状况。通过在堆栈的每个级别实施多个、互锁和部分冗余的安全控制,你可以消除单个攻击就能侵占整个系统的可能性。
5 像编排代码一样协调安全性
协调器负责其他环境部分,因此它应负责安全性。做其任何无关的事情会导致在策略和安全性之间产生阻抗。安全策略应与工作负载如影随形。
创建新的微服务安全模型意味着为已经非常复杂的环境中增加更多的复杂性。 但如果能做得正确,你将创建一个更安全的安全模型取代原有模型。
本文转移K8S技术社区-Kubernetes网络安全与合规的5招实用技巧
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
干货解析 |为什么要将快照引入Kubernetes?
Kubernetes v1.12引入了对volume snapshotting alpha的支持。此功能允许创建/删除卷快照,以及使用Kubernetes API本机创建新卷的功能。 1 什么是快照? 许多存储系统(如Google Cloud Persistent Disks、Amazon Elastic Block Storage和许多内部部署存储系统)都能够创建持久卷的“快照”。快照表示卷的时间点副本。快照可用于配置新卷(预先填充快照数据)或将现有卷还原到先前状态(由快照表示)。 2 为什么要将快照引入到Kubernetes? Kubernetes卷插件系统已经提供了一个强大的抽象功能,可以自动化块和文件存储的配置、挂载和安装。 支持所有这些功能的是Kubernetes工作负载可移植性的目标:Kubernetes旨在在分布式系统应用程序和底层集群之间创建一个抽象层,以便应用程序可以与运行的集群的细节无关,并且应用程序部署不需要“特定于集群”的知识。 Kubernetes Storage SIG将快照操作定为许多有状态工作负载的关键功能。例如,数据库管理员可能希望在开始数据库操作之...
- 下一篇
综评:5个方面看刚刚发布的Kubernetes 1.12
Kubernetes项目在过去几年中发展迅速,并且作为容器编排和管理解决方案的领导者而备受尊重。有了这个地位,Kubernetes开发者有责任提供经过充分测试,易于维护,高性能和可扩展的API和工具。在即将到来的每个发布周期中,大家都希望继续看到社群聚焦于优先实现现有功能的成熟和稳定而不是新功能的交付。 1、改善TLS 安全性是Kubernetes的基石。自Kubernetes 1.4以来,开发者一直在研究为集群运维者提供拥有对TLS管控能力的Kubernetes控制平面组件和kubelet。 在Kubernetes 1.12中,TLS bootstrapping在普遍可用性上大放异彩!此功能大大简化了Kubernetes向集群添加和删除节点的能力。 TLS bootstrapping只是故事的开始。集群运维者需负责确保他们管理的TLS保持更新,并且可以在安全事件面前轮换。考虑到这一点,开发人员开发了一种生成CSRs(Certificate Signing Requests)并将其提交给集群内CA(Certificate Authority)的机制。 2、多租户模式得到提高 多租户是...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS关闭SELinux安全模块