Kubernetes(K8s)之所以成為世界領(lǐng)先的容器編排平臺(tái)是有原因的，調(diào)查表明如今有74%的IT公司將其用于生產(chǎn)中的容器化工作負(fù)載。它通常是大規(guī)模處理容器配置、部署和管理的最簡(jiǎn)單方法。但是，盡管Kubernetes讓容器的使用變得更容易，但在安全性方面也增加了復(fù)雜性。

Kubernetes的默認(rèn)配置并不總是為部署的所有工作負(fù)載和微服務(wù)提供最佳的安全性。此外，企業(yè)如今不僅要負(fù)責(zé)保護(hù)其運(yùn)營(yíng)環(huán)境免受惡意網(wǎng)絡(luò)攻擊，還要滿足各種合規(guī)性要求。

合規(guī)性已經(jīng)成為確保業(yè)務(wù)連續(xù)性、防止聲譽(yù)受損以及確定每個(gè)應(yīng)用程序的風(fēng)險(xiǎn)級(jí)別的關(guān)鍵因素。合規(guī)性框架旨在通過(guò)輕松監(jiān)控、團(tuán)隊(duì)級(jí)別的問(wèn)責(zé)制以及漏洞評(píng)估來(lái)解決安全和隱私問(wèn)題——所有這些都在Kubernetes環(huán)境中提出了獨(dú)特的挑戰(zhàn)。

為了完全保護(hù)Kubernetes，需要采用多管齊下的方法：干凈的代碼、完全的可觀察性、防止與不受信任的服務(wù)交換信息以及數(shù)字簽名;還必須考慮網(wǎng)絡(luò)、供應(yīng)鏈和持續(xù)集成(CI)/持續(xù)交付(CD)管道安全、資源保護(hù)、架構(gòu)最佳實(shí)踐、機(jī)密管理和保護(hù)、漏洞掃描和容器運(yùn)行時(shí)保護(hù)。合規(guī)性框架可以幫助企業(yè)系統(tǒng)地管理所有這些復(fù)雜性。

以下了解五個(gè)主要安全框架以及它們?nèi)绾螏椭髽I(yè)更安全地使用Kubernetes。

1. 互聯(lián)網(wǎng)安全中心(CIS)Kubernetes基準(zhǔn)

互聯(lián)網(wǎng)安全中心(CIS)是一家歷史悠久的全球安全組織，已將其Kubernetes基準(zhǔn)創(chuàng)建為一個(gè)“客觀、共識(shí)驅(qū)動(dòng)的安全指南”，為集群組件配置提供行業(yè)標(biāo)準(zhǔn)建議，并強(qiáng)化Kubernetes安全態(tài)勢(shì)。等級(jí)1建議實(shí)施起來(lái)相對(duì)簡(jiǎn)單，同時(shí)提供主要好處，通常不會(huì)影響業(yè)務(wù)功能。等級(jí)2或“深度防御”建議適用于需要更全面戰(zhàn)略的關(guān)鍵任務(wù)環(huán)境。

互聯(lián)網(wǎng)安全中心(CIS)還提供確保集群資源符合基準(zhǔn)并為不合規(guī)組件生成警報(bào)的工具。互聯(lián)網(wǎng)安全中心(CIS)框架適用于所有Kubernetes發(fā)行版。

• 優(yōu)點(diǎn)：嚴(yán)格且被廣泛接受的配置設(shè)置藍(lán)圖。
• 缺點(diǎn)：并非所有建議都與所有企業(yè)相關(guān)，因此必須進(jìn)行相應(yīng)評(píng)估。

2. Kubernetes的NIST應(yīng)用容器安全

美國(guó)政府的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提供了專門的應(yīng)用程序容器安全指南，作為其自愿框架的一部分。該指南重點(diǎn)介紹了Kubernetes環(huán)境的安全挑戰(zhàn)，其中包括映像、注冊(cè)表、編排器、容器和主機(jī)操作系統(tǒng)，并基于最佳實(shí)踐提供了對(duì)策。

例如，NIST建議利用Kubernetes(或其他協(xié)調(diào)器)提供敏感信息的原生管理能力，在運(yùn)行時(shí)安全地將此數(shù)據(jù)供應(yīng)到Web應(yīng)用程序容器中，同時(shí)確保只有Web應(yīng)用程序容器才能訪問(wèn)這些敏感信息，并且該數(shù)據(jù)不會(huì)持久保存到磁盤。

• 優(yōu)點(diǎn)：值得信賴的標(biāo)準(zhǔn)化風(fēng)險(xiǎn)管理方法。
• 缺點(diǎn)：要求可能不明確，需要專業(yè)知識(shí)才能正確實(shí)施。

3. NSA和CISA的Kubernetes強(qiáng)化指南

美國(guó)國(guó)家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)最近發(fā)布了他們的Kubernetes強(qiáng)化指南，其中描述并詳細(xì)說(shuō)明了對(duì)Kubernetes集群的特定威脅，并在五個(gè)關(guān)鍵領(lǐng)域提供了強(qiáng)化指南：

• KubernetesPod安全
• 網(wǎng)絡(luò)分離和加固
• 認(rèn)證和授權(quán)
• 日志審計(jì)
• 升級(jí)和應(yīng)用安全實(shí)踐

該報(bào)告強(qiáng)調(diào)了供應(yīng)鏈風(fēng)險(xiǎn)中的危害，來(lái)自惡意行為者和基礎(chǔ)設(shè)施級(jí)別的內(nèi)部威脅，識(shí)別常見(jiàn)漏洞，并推薦最佳實(shí)踐以避免錯(cuò)誤配置。

• 優(yōu)點(diǎn)：非常詳細(xì)、實(shí)用、實(shí)際、特定于Kubernetes的建議。
• 缺點(diǎn)：不包括對(duì)容器生命周期安全管理的建議。

4. Kubernetes的MITREATT&CK?矩陣

Kubernetes的威脅矩陣由廣受認(rèn)可的MITREATT&CK(對(duì)抗性策略、技術(shù)和常識(shí))矩陣發(fā)展而來(lái)，它采用了一種以當(dāng)今領(lǐng)先的網(wǎng)絡(luò)威脅和黑客技術(shù)為基礎(chǔ)的不同方法。

該矩陣用于在對(duì)手的攻擊生命周期內(nèi)以及在常見(jiàn)目標(biāo)平臺(tái)上進(jìn)行威脅建模，同時(shí)提供危害指標(biāo)和攻擊指標(biāo)。對(duì)抗性方法使所有安全和滲透團(tuán)隊(duì)能夠構(gòu)建強(qiáng)大的威脅建模，并對(duì)網(wǎng)絡(luò)攻擊做出更全面的響應(yīng)。

• 優(yōu)點(diǎn)：廣泛的、最新的對(duì)手戰(zhàn)術(shù)數(shù)據(jù)庫(kù)。
• 缺點(diǎn)：實(shí)施復(fù)雜、昂貴的框架，指導(dǎo)不明確，而不是提供精確的緩解步驟。

5. Kubernetes的PCIDSS合規(guī)性

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)是存儲(chǔ)、處理或傳輸支付卡數(shù)據(jù)的每個(gè)企業(yè)所需的一組強(qiáng)制性技術(shù)和操作要求。其核心原則是對(duì)持卡人數(shù)據(jù)的存儲(chǔ)和處理環(huán)境進(jìn)行細(xì)分。在Kubernetes中，這是使用邏輯、網(wǎng)絡(luò)和服務(wù)等級(jí)分段來(lái)完成的。

雖然核心PCIDSS標(biāo)準(zhǔn)中沒(méi)有直接涉及容器和微服務(wù)，但云計(jì)算指南補(bǔ)充提供了容器編排指南。

在Kubernetes中，開(kāi)源包裝、容器壽命、蔓延和連接性的某些屬性都使PCIDSS合規(guī)性變得復(fù)雜。此外，在處理交易時(shí)，容器與平臺(tái)上的其他幾個(gè)組件進(jìn)行通信。

例如，如果企業(yè)有一個(gè)或多個(gè)容器在一個(gè)或多個(gè)專用Kubernetes服務(wù)器中運(yùn)行，則有責(zé)任確保范圍、分段和驗(yàn)證以及客戶數(shù)據(jù)之間的隔離滿足PCIDSS要求。

• 優(yōu)點(diǎn)：對(duì)于處理支付卡數(shù)據(jù)的企業(yè)來(lái)說(shuō)是強(qiáng)制性的;建立消費(fèi)者信心。
• 缺點(diǎn)：指南含糊不清且與技術(shù)無(wú)關(guān)，因此實(shí)施需要專業(yè)知識(shí)。

總結(jié)

Kubernetes帶來(lái)了巨大的好處，例如速度和敏捷性。遵守在這里探討的框架有助于最大程度地減少伴隨而來(lái)的任何風(fēng)險(xiǎn)。指導(dǎo)企業(yè)的團(tuán)隊(duì)采用行業(yè)最佳實(shí)踐至關(guān)重要，采用一個(gè)或多個(gè)這些框架通常是標(biāo)準(zhǔn)化漏洞評(píng)估和持續(xù)安全的最佳方式。

雖然合規(guī)性可能需要開(kāi)展一些前期工作，但在彈性和長(zhǎng)期業(yè)務(wù)連續(xù)性方面的回報(bào)將是值得的。在許多情況下，企業(yè)也會(huì)發(fā)現(xiàn)一些附帶好處，例如優(yōu)化、消除低效流程和服務(wù)。從長(zhǎng)遠(yuǎn)來(lái)看，這可能會(huì)節(jié)省成本，并減輕團(tuán)隊(duì)的管理負(fù)擔(dān)，同時(shí)全面保護(hù)Kubernetes環(huán)境，并確保實(shí)現(xiàn)最佳實(shí)踐的合規(guī)性。