由于Kubernetes动态的特性,难以使用现有工具进行保护或监控。这会对安全性和合规性控制产生重大影响。
- 边界安全(perimeter security),基于区域的安全性(zone-based security)以及静态防火墙等传统解决方案的可扩展性或灵活性不足以满足
- Kubernetes的安全控制监视工具无法涉足微服务的流量。
- 旨在提供审计跟踪(audit trails)的权限工具同样也是为静态应用程序和环境设计的,对Kubernetes无法正常工作。
- 由于微服务使用网络,因此开发、平台、网络、安全团队需要访问安全工具,以便他们能以敏捷的方式协同工作。
Kubernetes改变了我们实施安全控制的方式。以下是对这些环境实施安全性管理的一些实践建议:
1 部署你所知的
如果你不知道容器内部是什么就进行部署,这可能给你带来麻烦,特别是如果它含有易受攻击的代码。下载的容器镜像可能包含易受攻击的代码,使得运行时容器可被攻击者利用。因此,实施良好的安全管理并了解正在部署的内容究竟是什么至关重要。
容器扫描可以在一定程度上帮助筛选出含主要CVE(公共漏洞)的容器。假设你的代码完成了你希望它执行的操作,你希望确保没有人能够以你不知道的方式更改它,那就使用像Git这样的源代码控制系统。
2 确保部署合规
由于IP地址在Kubernetes环境中是短时的,因此我们需要使用其他属性来识别和审核工作负载,这可能包含与合规性控制一致的用来识别基础架构的元数据和标签。当使用标签为标识时,你可以开始附加合规性所需的安全控制。
下一步是编写与标签交互的策略。如果架构中的元素标记为PCI,那么它是哪种特定元素就变得无关紧要。无论如何,你的PCI相关政策都应自动应用。
最后,您需要强制执行策略的具体内容。开发人员以及其他任何人员不应该更改你的策略,除了安全/合规性团队。如果有人试图更改这些策略,安全/合规性团队应收到警报。
3 确保日志有意义且能持久保存
你可能拥有数千甚至数万台服务器,每台服务器都有数百个工作负载。你需要一个可以关联所有这些工作负载的解决方案,以便你可以检测平台中实际发生的情况。举个例子,你的容器需要一致的时间感,没有时间感,您的日志将不按顺序排列,导致你无法确定因果顺序。
4 拥抱Zero Trust网络安全理念
正如我们所提到的,你需要假设你的网络中会收到一个或多个攻击。相应的行动意味着在你需要在pod和主机内外实施多个执行点。如果单个执行点受到攻击,则感染将无法危及安全状况。通过在堆栈的每个级别实施多个、互锁和部分冗余的安全控制,你可以消除单个攻击就能侵占整个系统的可能性。
5 像编排代码一样协调安全性
协调器负责其他环境部分,因此它应负责安全性。做其任何无关的事情会导致在策略和安全性之间产生阻抗。安全策略应与工作负载如影随形。
创建新的微服务安全模型意味着为已经非常复杂的环境中增加更多的复杂性。 但如果能做得正确,你将创建一个更安全的安全模型取代原有模型。
本文转移K8S技术社区-Kubernetes网络安全与合规的5招实用技巧
