更新时间:2022-06-09 01:28:34
如今,企业在加快应用程序现代化的同时,往往会将Kubernetes安全性放在次要位置。虽然这种风险越来越高,但我们仍然需要谨慎对待能够减轻容器化环境威胁的安全策略。
一方面,安全措施必须足够精确,以满足严格的合规性要求并通过审计。组织必须遵守各种法律法规,包括SOC 2、PCI DSS、GPDR、HIPAA等。同时,无论采用哪种安全流程,都要确保DevOps和开发者的工作效率不会受到影响。这是一种微妙的平衡方法,容错率极低。
为了确保在集装箱化的环境中持续合规而不影响生产率,请遵循以下6项实践。
1.实现自动化
市场上有许多优秀且完全开源的工具可用,合适的工具可以帮助企业实现实时威胁响应和持续在线监控,从而确保持续合规。例如,企业应该将自动漏洞扫描和安全策略(即代码)集成到管道中。通过自动化的Kubernetes审计日志分析工具处理日志和事件。基于机器学习的SIEM技术可以快速自动识别攻击模式。企业还应该使用CIS基准和自定义合规性验证来持续检查Kubernetes配置。
2.保护Kubernetes本身
将Kubernetes本身视为攻击面是必不可少的,因为攻击者肯定会这么做。随着威胁的日益复杂,企业需要积极保护容器环境背后的整个堆栈,以实现持续合规。保护措施包括:启用自动监控、加强防攻击措施、执行配置审计和准备自动缓解。除了Kubernetes(https://www . dark reading.com/cloud/firms-truss-to-secure-multi cloud-misconfiguration s)之外,企业还应该对任何可能被攻击的服务网格、托管VM、插件或其他目标采取相同的措施。
3.发现攻击可以预防它们。
攻击链通常始于未被识别的容器网络连接或进程的开始,并通过写入或更改现有文件或使用未受保护的入口点来提高其访问级别。然后,这种恶意手段会利用网络流量将抓取的数据发送到外部IP地址,造成数据泄露。黑仔链可能以类似的方式针对Kubernetes API服务,通常会发起零日攻击、内部攻击和加密货币挖掘攻击。使用Apache Log4j的攻击也在增加。
数据丢失防护(DLP)和Web应用程序防火墙(WAF)的结合可以提供检测活跃杀手链所需的可见性和自动响应能力,并在可疑进程和流量造成损害之前阻止它们。事实上,目前许多法规遵从性框架特别要求组织具备DLP和WAF能力来保护其容器和Kubernetes环境,包括PCI DSS、SOC 2和GDPR。(HIPAA也强烈推荐DLP。)
4.关注零信任
通过实施零信任模型(https://www . dark reading.com/edge/get-started-on-continuous-compliance-ahead-of-PCI-DSS-v4-0),企业不再被动地应对日志分析或基于签名的检测中发现的威胁。零信任策略只允许批准的流程和流量在企业环境中移动,从而防止所有攻击。整个云原生技术栈,以及RBAC等访问控制,都必须采取这些零信任保护措施。通过这种方式,企业可以确保持续合规。
5.使用Kubernetes的内置安全措施
Kubernetes内置的安全功能包括日志审计、RBAC和Kubernetes API服务器的系统日志收集(https://Kubernetes . io/docs/reference/command-line-tools-reference/kube-API server/)。使用这些功能来收集和分析所有活动日志,以识别攻击或错误配置。然后,通过安全补丁或基于策略的新保护措施,可以解决各种事件或不合规的运行时活动。
在大多数情况下,企业将希望通过能够实现容器应用程序安全性和持续合规性审计的工具来进一步支持现有的Kubernetes安全措施。企业应该使用内置的Kubernetes准入控制器(https://Kubernetes . io/docs/reference/access-authn-authz/admission-controllers/)来密切协调Kubernetes与外部注册请求和资源请求。该方法可以更有效地防止应用部署中的漏洞和未授权行为。
6.验证云主机的安全性
托管Kubernetes的云平台可以控制自己的系统,必须保证其持续合规。但是,如果我们不检查这些云托管做法是否真正得到充分保护,企业是否履行了自己的合规责任,风险就太高了。事实上,许多云提供商(https://www . dark reading.com/cloud/companies-need-to-keep-watch-on-cloud-data)提供的责任分担模式将保护云上的应用访问、网络行为和其他资产的责任直接留给了客户。
实时环境中的持续合规性
Kubernetes和集装箱化环境异常活跃,容器的创建和删除速度非常快,人工安检都保护不了。此外,法规遵从性要求的许多传统安全技术,如网络分段和防火墙,在容器网络中不起作用。
当在生产环境中构建、迁移和运行应用程序时,现代持续开发过程会定期引入新的代码和容器。因此,法规要求组织采用自动化实时安全保护和审核措施来实现真正的持续合规性。
原文链接:https://mp.weixin.qq.com/s/MQh16-PQYsjaGCjwyxIk_A
