在过去十年中,容器化工作负载和Kubernetes(K8s)席卷了软件世界。不幸的是,随着Kubernetes成为企业架构的主要组成部分,它成为威胁参与者的高价值目标。一般来说,容器安全,尤其是Kubernetes安全,是当今企业安全态势的一个基本方面。本文将探讨Kubernetes运行时安全性,这是K8s安全性最关键的方面之一,包括七个基本的K8s运行时安全性最佳实践。
什么是Kubernetes运行时安全性?
Kubernetes运行时安全是一组工具、实践和技术,用于保护Kubernetes上运行的容器工作负载。换句话说,Kubernetes运行时安全是工作负载保护和容器安全的子类别。Kubernetes运行时安全性处理从容器实例化到终止的安全性。这意味着运行时安全性包括诸如容器是否以root身份运行(它们不应该!)之类的事情,但不包括诸如容器镜像扫描之类的主题。
Kubernetes运行时安全挑战和风险
由于如今在K8s上运行的应用程序类型如此之多,因此对于容器或Kubernetes而言,没有一套放之四海而皆准的运行时安全风险。大多数企业都面临着一系列Kubernetes运行时安全挑战。
以下是与Kubernetes上的运行时容器安全相关的四种常见安全风险:
错误配置和不安全配置:2022年,超过900,000个Kubernetes集群被发现在线暴露。这是一个很好的例子,说明K8s的不安全配置问题有多普遍。
权限升级:威胁行为者获得K8s环境的访问权限并升级到更高权限的用户(例如,root)是教科书式的Kubernetes运行时安全威胁。
恶意软件:容器镜像中的恶意软件是一个严重的问题。2022年,DockerHub上有超过1,600个可用容器,其中包含加密矿工和DNS劫持者等恶意软件。在环境中实例化这些容器之一会立即在网络边界后方引入威胁。
K8s和容器中的漏洞:即使容器本身不是恶意的,它们也常常容易受到具有已知漏洞利用的CVE的攻击。
原生Kubernetes运行时安全工具
Kubernetes提供了一组有限的本机工具和控件,可以限制运行时风险。这些包括:
秘密:K8s秘密是存储API密钥或密码等信息的数据对象。使用Secrets可帮助企业将敏感数据排除在图像和Pod规范之外。

网络策略:Kubernetes网络策略类似于在网络和传输层强制执行策略的传统ALLOW和BLOCK防火墙规则。
审核日志:审核日志提供有关集群中发生的操作的详细信息。例如,可以审计API活动。这些日志可以允许分析和检测恶意行为。
RBAC:基于角色的访问控制(RBAC)允许管理员根据实体的角色限制K8sAPI访问。
由于原生Kubernetes运行时安全工具不直接解决实时威胁检测等用例,因此许多企业依赖更强大的工作负载保护工具。
7个Kubernetes运行时安全最佳实践
这六个Kubernetes运行时最佳实践可以帮助企业限制许多K8s安全威胁。
不要以root身份运行容器:以root身份运行容器会为特权升级攻击设置威胁参与者。简单地不以root身份运行可以减轻许多威胁。
审计和自动化容器配置:公开暴露本应保密的数据或使数据库实例面向互联网是可能导致漏洞的错误配置示例。使用基础架构即代码(IaC)审核配置和自动化配置部署是限制风险的好方法。
锁定网络层:除了K8s网络策略和RBAC之外,IPS/IDS和NGFW等网络安全工具可以在威胁到达工作负载之前检测并阻止它们。此外,企业应尽可能避免暴露Docker守护程序套接字。
避免特权模式:就像不以root身份运行容器一样,企业应避免使用–privileged标志运行容器。–privileged标志允许容器绕过各种确保系统安全的检查。
尽可能使用只读文件系统:只读文件系统可防止威胁参与者将恶意软件直接写入容器的文件系统。这会限制威胁行为者执行攻击的能力。
只运行受信任的容器镜像:一旦管理员实例化受损镜像,公共存储库就会威胁到容器运行时环境中的安全。只有使用可信的容器镜像才能帮助企业限制来自公共镜像存储库的镜像风险。
保护内核级别:SELinux、cgroups和AppArmor等解决方案可以为Kubernetes运行时安全性增加一层保护。例如,AppArmor可以定义限制对各种内核资源访问的策略,以降低应用程序利用它们不应访问的系统功能的风险。
左移补充了有效的Kubernetes运行时安全性
当然,安全的任何方面都不存在于真空中。运行时安全性很重要,但安全性在容器实例化之前就开始了。前面提到的一些Kubernetes运行时安全最佳实践清楚地表明了这一点,左移安全的概念使这一点更加明确。在开发生命周期的早期集成安全性并在整个过程中提供强大的运行时保护,提供了两全其美的方法。
本文来源:国外服务器--什么是Kubernetes运行时安全性(kubernetes主要功能)
本文地址:https://www.idcbaba.com/guowai/5409.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1919100645@qq.com 举报,一经查实,本站将立刻删除。



