加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 安全 > 正文

如何使用Kubernetes达成安全合规自动化?

发布时间:2022-06-27 15:34:20 所属栏目:安全 来源:互联网
导读:容器与Kubernetes带来了新的、独特的安全审视角度。它们促使团队重新考量自己的传统安全策略,摆脱单一或瀑布式的粗放方法,希望破除安全工作马后炮式的被动属性。 左移思维还能在安全策略的实施当中发挥作用,这同样有助于改善合规性。Dang解释道,策略的执
   容器与Kubernetes带来了新的、独特的安全审视角度。它们促使团队重新考量自己的传统安全策略,摆脱单一或瀑布式的粗放方法,希望破除安全工作“马后炮”式的被动属性。
 
   左移思维还能在安全策略的实施当中发挥作用,这同样有助于改善合规性。Dang解释道,“策略的执行将可分布在各个检查点当中——包括CI/CD管道、部署或运行期间,并由编排工具根据实际要求提供良好的可扩展性与可靠性。”
 
 
  Dang还指出,“这样,安全最佳实践将可以在整个Kubernetes的各个层级上自动应用——包括集群层级、命名空间层级、部署/服务层级以及pod层级等等。”
 
  借自动化机制提高检测与策略执行能力
  与很多朋友已经熟知的声明式、自动化基础设施操作方法一样,大家在安全领域也可以采取相同或者类似的操作。如上所述,这些在容器安全与Kubernetes安全当中同样不可或缺。
 
  Dang表示,“这些环境强调以声明式API进行操作,能够在基础设施的配置期间实现安全设置,并在应用程序的构建与部署流程中始终提供安全保护。”
 
  换言之,“即代码管理模式”将由此与安全领域展开融合。
 
  NeuVector公司CTO Gray Duan认为,“希望实现Kubernetes合规性与安全性自动化的企业,还应尽可能将安全策略即代码与行为学习(或者机器学习)结合起来。这项技术策略有助于支持安全性“左移”的思维模式,帮助我们在应用程序开发早期引入工作负载安全策略,立足整个生产过程实现环境保护。”
 
  Duan还分享了安全性与合规性领域的几个“应该”案例,一马当先的就是在运行时中自动执行安全漏洞扫描。Duan提到,“在实施Kubernetes合规性与安全性自动化时,我们需要在运行时中执行漏洞扫描——不只是扫描容器,还需要扫描主机乃至Kubernetes本身。”
 
  第二点则是自动网络分段。事实上,网络分段在某些行业中属于必要的合规性要求,需要强制加以执行。
 
  越来越的企业需要组织合规报告并加以管理,而自动化网络分段也开始在众多行业的合规性标准中成为主流。例如,管理支付处理的PCI DSS安全标准就要求在持卡人数据环境内外的流量之间设置网络分段和防火墙。在Duan看来,我们根本无法以手动方式调整防火墙规则,借以应对新的、不断发展的容器化环境威胁态势。“正因为如此,很多法规理所当然地要求在业务环境中执行自动化运行时扫描与合规性检查。”
 
  Kubernetes操作器则是安全自动化领域的一类新兴工具。Red Hat安全策略师Kirsten Newcomer向我们解释道,“最酷的一点在于,您可以使用Kubernetes操作器来管理Kubernetes本身,从而更轻松地交付并自动处理安全部署。例如,操作器能够高效管理配置漂移、使用Kubernetes声明机制来重置和更改不受支持的配置。”
 
  Aqua开发的kube-bench是一款免费开源工具,能够根据CIS Kubernetes基准自动检查您的环境。事实上,目前CIS指南已经成为一项重要的运营前提,Red Hat OpenShift Container Platform 4就专门根据其中的条目为用户选择了合作商工具。在kube-bench的帮助下,企业能够持续检查自己的安全状况,确保集群不致偏离合规性要求。
 
  NeuVector也提供一组免费开源脚本,可根据最佳实践自动检查Kubernetes的安装情况。
 
  同样来自Aqua的还有一款开源kube-hunter工具,可根据已知漏洞对集群发动模拟攻击。
 
  Osnat指出,“如果说CIS基准测试关注的是单一设置及其对整体安全状况产生的影响,那么kube-hunter就是通过数十种已知攻击向量对您的集群发动渗透测试,借此实现安全性补充。它会模拟攻击您的集群,验证集群是否抵御得住各种已知的攻击手段。它还提供关于设置的变更建议,帮助大家快速对所发现的安全漏洞施以补救。”
 
  最后,开源阵营还有另外一位新成员——同样来自Aqua的Starboard,一款面向Kubernetes安装的安全工具包。
 
  Osnat总结道,“Starboard努力将各种工具集成到K8s的体验当中,包括漏洞扫描工具、工作负载审计器以及基准测试等。它基于K8s CRD(定制化资源定义)实现,并可通过Kubernetes API进行访问。熟悉kubectl(K8s的原生CLI)的用户能够轻松从中获取安全信息,并据此编程以进一步提升自动化水平。”

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号