Kubernetes是一个使用Kubernetes集群大规模管理和部署容器的开源平台，已成为企业基础设施的基石。这种流行度的增长也意味着Kubernetes也成为了攻击者的高价值目标。基于Kubernetes的漏洞利用，例如Tesla的Cryptojacking攻击和Siloscape恶意软件，无可否认地表明了这一现实。由于Kubernetes现在是企业应用程序基础设施的基本组成部分，也是黑客的常见攻击点，因此保护K8s部署必须成为企业的重中之重。

Kubernetes安全VS应用程序安全最佳实践

在许多情况下，Kubernetes安全最佳实践与一般网络和应用程序安全最佳实践保持一致。例如，静态和传输数据的加密是任何生产环境（K8s或其他）中的赌注。同样，必须正确处理密码和API密钥等敏感数据。在大多数情况下，企业DevSecOps团队都知道这些基本的最佳实践，并且很好地利用了它们。在这里，我们将超越基础知识，看看7个Kubernetes安全最佳实践，它们可以将企业安全提升到一个新的水平。

#1。将K8s状态管理和可见性放在首位

在高层次上，K8s状态管理和可见性是关于能够有效地做两件事：

当然，实现这些目标说起来容易做起来难，尤其是在多云环境中。那么，企业安全团队具体可以做什么来优化他们的Kubernetes安全态势和可见性？我们将在以下最佳实践中介绍其中的许多步骤。先决条件是组织认同，以便在整个企业中优先考虑K8s安全性。

以下是企业可以采取的一些最有影响力的步骤，以开始他们在高水平上提高K8s安全性的旅程。

#2。实施形象保证

容器镜像是K8s工作负载的构建块。不幸的是，不安全的容器镜像是一种普遍的威胁。例证：2020年的一项分析发现DockerHub上超过一半的图像存在严重漏洞。因此，确保K8s集群中使用的图像是安全的并从可信来源提取是重要的Kubernetes安全最佳实践。

要实施形象保证，企业应利用安全工具：

KubernetesAPI服务器是企业必须防止不安全或恶意请求的攻击面。准入控制器是旨在帮助做到这一点的代码片段。准入控制器在授权后但在持久化之前对API调用进行操作，因此它们可以帮助防止在出现人为错误、配置错误或帐户被盗时对集群进行修改。借助准入控制器，企业可以定义微调策略来限制各种操作，包括pod更新、图像部署和角色分配。

#4。使用WAAP保护Web应用程序和API

传统的Web应用程序防火墙(WAF)和入侵检测与防御系统(IDS/IPS)不够灵活或不够智能，无法跟上现代Web应用程序和API面临的威胁。为应对机器人程序和零日攻击等威胁，企业应使用Web应用程序和API保护(WAAP)解决方案。

WAAP在设计时考虑了现代云原生应用程序，并提供以下功能：

#5。使用智能运行时保护解决方案

K8s安全性最艰难的平衡之一是识别恶意行为并保护工作负载免受实时攻击，同时限制误报。为了获得正确的平衡，企业需要使用多个数据点来识别和减轻威胁的智能解决方案。这需要一种三管齐下的运行时保护方法，包括：

#6。投资现代K8s入侵防护

多年来，IPS/IDS技术一直是企业安全的重要组成部分，而且随着容器和Kubernetes的兴起，这一点也没有改变。从根本上说，检测可疑行为并标记或阻止它的工具将始终是企业安全的基石。发生变化的是IPS/IDS必须保护的资产的动态特性以及现代企业面临的威胁。

适用于Kubernetes的现代入侵保护解决方案需要能够执行以下功能：

此外，现代IPS/IDS需要在多云环境中运行，以保护部署在任何地方的K8s集群。

#7。强调可视化和定期报告

要了解其安全状况的当前状态，企业必须能够访问占其整个应用程序基础架构的最新报告和可视化（例如仪表板）。没有一套适合所有企业需要的KPI和报告，因此定制是有效解决方案的一个重要方面。任何企业级K8s安全可视化和报告解决方案都应该包括来自所有云的聚合数据、向下钻取以显示更精细细节的能力，以及资产和警报的单一管理平台概览。

在评估可视化和报告工具时，不要忽视仪表板和高级概览的重要性。许多报告工具面临的最大挑战之一是信息过载和缺乏清晰度。信息太多，以至于在企业层面变得不连贯。通过正确的高级可视化和报告，企业可以快速有效地评估其整体容器安全状况，并了解他们需要首先关注哪些发现。