小说阅读网站,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

SUSE：如何抵御勒索軟件攻擊——容器安全

本文是《如何抵御勒索軟件攻擊》系列文章，如需閱讀本系列的其他文章，請訪問：??

成都創(chuàng)新互聯(lián)公司專注于企業(yè)營銷型網(wǎng)站、網(wǎng)站重做改版、鞍山網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5建站、商城網(wǎng)站開發(fā)、集團公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為鞍山等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

??如何抵御勒索軟件攻擊：簡介???

??如何抵御勒索軟件攻擊：傳統(tǒng) IT 安全???

如何讓 Kubernetes 環(huán)境免受勒索軟件攻擊？?

隨著容器使用率的增長，容器化軟件逐漸成為了勒索軟件攻擊的目標，而 Kubernetes 環(huán)境本身的動態(tài)特性也帶來了獨特的挑戰(zhàn)。勒索軟件的傳播速度可能非常快，可能會感染鏡像倉庫或軟件供應(yīng)鏈的其他部分，導致 Kubernetes 集群中的所有 Pod 遭到破壞。攻擊者還可能控制 Kubernetes 集群，使攻擊難以停止。?

正如本系列的第一篇文章所述，攻擊可能通過應(yīng)用程序漏洞、Kubernetes 集群被盜的憑證、軟件供應(yīng)鏈中植入的惡意軟件等發(fā)生。要讓 Kubernetes 環(huán)境免受攻擊，采取預防措施非常重要。某些攻擊只能通過使用特定的安全軟件和預定義流程解決。?

要防止通過應(yīng)用程序漏洞進行的攻擊，我們可以使用一些策略：?

讓軟件保持更新，使用已修復錯誤的最新版本。要確保沒有在集群上部署易受攻擊的軟件，你可以使用 SUSE NeuVector 來實現(xiàn)準入控制規(guī)則，它擴展了 Kubernetes 的功能，允許你定義規(guī)則（例如，防止將有漏洞或來自不受信任的鏡像倉庫的鏡像部署到集群中）。?
在攻擊抵達應(yīng)用程序之前，在網(wǎng)絡(luò)級別主動阻止已知攻擊。NueVector 特別適合執(zhí)行此任務(wù)，因為它不僅關(guān)注其他安全解決方案關(guān)注的第 3 和第 4 網(wǎng)絡(luò)層協(xié)議，也關(guān)注包含應(yīng)用程序協(xié)議的第 7 網(wǎng)絡(luò)層。換言之，它可以使用深度包檢測 (DPI) 技術(shù)識別通過應(yīng)用程序?qū)訑y帶的攻擊，并且在惡意網(wǎng)絡(luò)數(shù)據(jù)包抵達應(yīng)用程序之前阻止它們。?
限制應(yīng)用程序權(quán)限。你可以通過 Kubernetes 安全機制（例如 Seccomp、AppArmor 和 SELinux）進一步防止勒索軟件攻擊。正如本系列前文所述，SELinux 和 AppArmor 可以有效防止應(yīng)用程序訪問某些文件或運行某些進程。它們只在啟用了這些功能的 Linux 發(fā)行版上運行的 Kubernetes 節(jié)點中可用，例如 SLES和 SLEmicro。?

為什么使用零信任策略來阻止惡意軟件的傳播？?

這些措施可能都無法達到要求，尤其是攻擊者使用零日攻擊來獲取訪問權(quán)限的情況。?

要防止零日攻擊，我們需要實施基于行為的零信任策略，該策略可以觀察并阻止在網(wǎng)絡(luò)或系統(tǒng)層上試圖偏離預期的應(yīng)用程序行為。換言之，即使攻擊者獲得了應(yīng)用程序的控制權(quán)，也無法訪問集群中的其他應(yīng)用程序。通常情況下，大多數(shù)后端應(yīng)用程序不會公開，安全保護比較弱，有些應(yīng)用程序還具有比較高的系統(tǒng)權(quán)限。因此，如果能控制這些應(yīng)用程序的網(wǎng)絡(luò)或數(shù)據(jù)訪問，攻擊者就有機會進一步進行傳播。?

在這種情況下，我們可以使用 SUSE NeuVector 的零信任安全策略，因為我們不僅僅要查看已知的攻擊，還需要查看應(yīng)用程序的行為。為此，我們需要定義一個安全策略，聽起來可能很復雜，但是我們可以借助 NeuVector 行為學習功能，輕松為每個正在運行的應(yīng)用程序創(chuàng)建策略。?

我們不僅可以使用 SUSE NeuVector 來實施系統(tǒng)和網(wǎng)絡(luò)級別的零信任策略，還可以查看每個 Pod 通過 DPI 技術(shù)建立的連接，可視化和檢測 Kubernetes 環(huán)境中的可疑活動。?

在云原生環(huán)境中擁有安全軟件供應(yīng)鏈的重要性?

軟件供應(yīng)鏈是云原生環(huán)境的重要組成部分。這是一個端到端的過程，可以確保云原生環(huán)境中使用的所有應(yīng)用程序和組件都是安全的，從運行 Kubernetes 的硬件和操作系統(tǒng)，到最終應(yīng)用程序上使用的所有庫。?

為了確保安全，我們需要驗證軟件的真實性，例如使用受監(jiān)管的第三方簽名，定期修補漏洞，使用安全交付方法，以及控制修改代碼的人員和時間，確保所有更改都要經(jīng)過了審核。?

這就是 SLSA4 和 Common Criteria EAL4+ 等認證體現(xiàn)價值的地方，它們確保了用于產(chǎn)品開發(fā)和維護的 SUSE 流程通過了這些認證的嚴格安全要求。?

但是，我們不能總是使用經(jīng)過認證的軟件。因此，我們需要使用 SUSE NeuVector 等安全平臺或 Rancher 等 Kubernetes 集群管理平臺來掃描鏡像倉庫中的鏡像漏洞、驗證是否符合安全要求、在基礎(chǔ)設(shè)施上運行安全 Benchmark 等。更重要的是，這些檢查可以重復執(zhí)行，而且是自動化的，不是一次性的。?

為什么必須在 Kubernetes 環(huán)境中實現(xiàn)安全自動化？?

對于確保安全、合規(guī)和持續(xù)更新的環(huán)境，以及通過補丁和配置供應(yīng)鏈中的軟件資源來減少攻擊面來說，Kubernetes 環(huán)境中的安全自動化至關(guān)重要。?

由于云原生環(huán)境中的安全性不是靜態(tài)的，因此每天都會出現(xiàn)新的漏洞和補丁，攻擊者會自動進行攻擊，快速發(fā)現(xiàn)并攻擊受害者。?

自動化還帶來了其他好處，例如避免手動錯誤，以及確保在整個環(huán)境中始終執(zhí)行安全策略。?

此外，它還可以大幅度縮短將受攻擊系統(tǒng)恢復到原始狀態(tài)所需的時間。但是需要特別注意的是，在恢復系統(tǒng)之前必須先打補丁。為此，我們還需要簡化和自動化更新過程。?

為了實現(xiàn)和簡化該操作，SUSE NeuVector 等安全平臺和 Rancher 等 Kubernetes 管理工具在設(shè)計時就考慮到了自動化。借助 Rancher，我們可以使用 Fleet 或其他外部 CI/CD 系統(tǒng)跨集群自動部署和升級工作負載，簡化 Infrastructure-as-Code 的使用。?

借助 SUSE NeuVector API 和 CRD，你可以像加載 Kubernetes 中的其他資源一樣加載安全策略，讓使用現(xiàn)有 CI/CD 平臺實現(xiàn) Security-as-Code 變得簡單。?

擁有多個集群時，如何擴展這些措施？?

我們需要使用小而可靠的軟件，因為高資源消耗將影響應(yīng)用程序性能，導致其無法滿足不斷增長的需求，這也是生產(chǎn)就緒軟件需要關(guān)注的重點之一。?

我們可以使用 Rancher 的安全功能來確保所有 Kubernetes 集群都得到正確的配置和保護。Rancher 可以幫助我們控制訪問、實施安全策略和掃描漏洞。?

有了 SUSE NeuVector，我們還可以通過將聯(lián)合規(guī)則推送到各個集群，并將鏡像倉庫掃描結(jié)果同步到多個集群，來管理多集群和多云部署的安全性。?

即使有多個集群，我們也可以使用該方法擴展安全措施，NeuVector 架構(gòu)可以輕松地隨應(yīng)用程序工作負載擴展保護。?

總結(jié)?

我們可以看到，擁有安全的軟件供應(yīng)鏈并在系統(tǒng)和網(wǎng)絡(luò)層實施基于行為的零信任安全策略可以幫助用戶抵御惡意攻擊，例如勒索軟件和零日攻擊。?

SUSE NeuVector 作為業(yè)界首個端到端的開源容器安全平臺，能夠為容器化工作負載提供企業(yè)級零信任安全。?

關(guān)于?

SUSE 是全球范圍內(nèi)創(chuàng)新且可靠的企業(yè)級開源解決方案領(lǐng)導者，財富 500 強中有 60% 以上的企業(yè)依靠 SUSE 為其關(guān)鍵任務(wù)的工作負載賦能。SUSE 專注于企業(yè)級 Linux、企業(yè)容器管理和邊緣解決方案，通過與合作伙伴和社區(qū)合作，幫助客戶隨時隨地在任意場景進行創(chuàng)新——無論是在數(shù)據(jù)中心、云端還是邊緣環(huán)境。?

SUSE 讓“開源”重新“開放”，使客戶能夠靈活地應(yīng)對當今的創(chuàng)新挑戰(zhàn)，并能夠自由地在未來發(fā)展其 IT 戰(zhàn)略和解決方案。SUSE 在全球擁有2000 余名員工，2021 年在法蘭克福證券交易所的監(jiān)管市場（Prime Standard）上市。?

當前文章：SUSE：如何抵御勒索軟件攻擊——容器安全
文章路徑：http://m.fisionsoft.com.cn/article/coijgoe.html

新聞中心

如何讓 Kubernetes 環(huán)境免受勒索軟件攻擊？?

為什么使用零信任策略來阻止惡意軟件的傳播？?