如何在云原生格局中理解Kubernetes合規(guī)性和安全框架

作者：Harris編譯 2022-04-18 09:58:17
云計算
云原生 為了完全保護Kubernetes，需要采用多管齊下的方法，以下了解五個主要安全框架以及它們如何幫助企業(yè)更安全地使用Kubernetes。

成都創(chuàng)新互聯(lián)是一家專注于網站設計制作、網站設計與策劃設計,三水網站建設哪家好?成都創(chuàng)新互聯(lián)做網站,專注于網站建設十余年,網設計領域的專業(yè)建站公司;建站業(yè)務涵蓋:三水等地區(qū)。三水做網站價格咨詢:18980820575

Kubernetes(K8s)之所以成為世界領先的容器編排平臺是有原因的，調查表明如今有74%的IT公司將其用于生產中的容器化工作負載。它通常是大規(guī)模處理容器配置、部署和管理的最簡單方法。但是，盡管Kubernetes讓容器的使用變得更容易，但在安全性方面也增加了復雜性。

Kubernetes的默認配置并不總是為部署的所有工作負載和微服務提供最佳的安全性。此外，企業(yè)如今不僅要負責保護其運營環(huán)境免受惡意網絡攻擊，還要滿足各種合規(guī)性要求。

合規(guī)性已經成為確保業(yè)務連續(xù)性、防止聲譽受損以及確定每個應用程序的風險級別的關鍵因素。合規(guī)性框架旨在通過輕松監(jiān)控、團隊級別的問責制以及漏洞評估來解決安全和隱私問題——所有這些都在Kubernetes環(huán)境中提出了獨特的挑戰(zhàn)。

為了完全保護Kubernetes，需要采用多管齊下的方法：干凈的代碼、完全的可觀察性、防止與不受信任的服務交換信息以及數(shù)字簽名;還必須考慮網絡、供應鏈和持續(xù)集成(CI)/持續(xù)交付(CD)管道安全、資源保護、架構最佳實踐、機密管理和保護、漏洞掃描和容器運行時保護。合規(guī)性框架可以幫助企業(yè)系統(tǒng)地管理所有這些復雜性。

以下了解五個主要安全框架以及它們如何幫助企業(yè)更安全地使用Kubernetes。

1. 互聯(lián)網安全中心(CIS)Kubernetes基準

互聯(lián)網安全中心(CIS)是一家歷史悠久的全球安全組織，已將其Kubernetes基準創(chuàng)建為一個“客觀、共識驅動的安全指南”，為集群組件配置提供行業(yè)標準建議，并強化Kubernetes安全態(tài)勢。等級1建議實施起來相對簡單，同時提供主要好處，通常不會影響業(yè)務功能。等級2或“深度防御”建議適用于需要更全面戰(zhàn)略的關鍵任務環(huán)境。

互聯(lián)網安全中心(CIS)還提供確保集群資源符合基準并為不合規(guī)組件生成警報的工具。互聯(lián)網安全中心(CIS)框架適用于所有Kubernetes發(fā)行版。

• 優(yōu)點：嚴格且被廣泛接受的配置設置藍圖。
• 缺點：并非所有建議都與所有企業(yè)相關，因此必須進行相應評估。

2. Kubernetes的NIST應用容器安全

美國政府的國家標準與技術研究院(NIST)提供了專門的應用程序容器安全指南，作為其自愿框架的一部分。該指南重點介紹了Kubernetes環(huán)境的安全挑戰(zhàn)，其中包括映像、注冊表、編排器、容器和主機操作系統(tǒng)，并基于最佳實踐提供了對策。

例如，NIST建議利用Kubernetes(或其他協(xié)調器)提供敏感信息的原生管理能力，在運行時安全地將此數(shù)據供應到Web應用程序容器中，同時確保只有Web應用程序容器才能訪問這些敏感信息，并且該數(shù)據不會持久保存到磁盤。

• 優(yōu)點：值得信賴的標準化風險管理方法。
• 缺點：要求可能不明確，需要專業(yè)知識才能正確實施。

3. NSA和CISA的Kubernetes強化指南

美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)最近發(fā)布了他們的Kubernetes強化指南，其中描述并詳細說明了對Kubernetes集群的特定威脅，并在五個關鍵領域提供了強化指南：

• KubernetesPod安全
• 網絡分離和加固
• 認證和授權
• 日志審計
• 升級和應用安全實踐

該報告強調了供應鏈風險中的危害，來自惡意行為者和基礎設施級別的內部威脅，識別常見漏洞，并推薦最佳實踐以避免錯誤配置。

• 優(yōu)點：非常詳細、實用、實際、特定于Kubernetes的建議。
• 缺點：不包括對容器生命周期安全管理的建議。

4. Kubernetes的MITREATT&CK?矩陣

Kubernetes的威脅矩陣由廣受認可的MITREATT&CK(對抗性策略、技術和常識)矩陣發(fā)展而來，它采用了一種以當今領先的網絡威脅和黑客技術為基礎的不同方法。

該矩陣用于在對手的攻擊生命周期內以及在常見目標平臺上進行威脅建模，同時提供危害指標和攻擊指標。對抗性方法使所有安全和滲透團隊能夠構建強大的威脅建模，并對網絡攻擊做出更全面的響應。

• 優(yōu)點：廣泛的、最新的對手戰(zhàn)術數(shù)據庫。
• 缺點：實施復雜、昂貴的框架，指導不明確，而不是提供精確的緩解步驟。

5. Kubernetes的PCIDSS合規(guī)性

支付卡行業(yè)數(shù)據安全標準(PCIDSS)是存儲、處理或傳輸支付卡數(shù)據的每個企業(yè)所需的一組強制性技術和操作要求。其核心原則是對持卡人數(shù)據的存儲和處理環(huán)境進行細分。在Kubernetes中，這是使用邏輯、網絡和服務等級分段來完成的。

雖然核心PCIDSS標準中沒有直接涉及容器和微服務，但云計算指南補充提供了容器編排指南。

在Kubernetes中，開源包裝、容器壽命、蔓延和連接性的某些屬性都使PCIDSS合規(guī)性變得復雜。此外，在處理交易時，容器與平臺上的其他幾個組件進行通信。

例如，如果企業(yè)有一個或多個容器在一個或多個專用Kubernetes服務器中運行，則有責任確保范圍、分段和驗證以及客戶數(shù)據之間的隔離滿足PCIDSS要求。

• 優(yōu)點：對于處理支付卡數(shù)據的企業(yè)來說是強制性的;建立消費者信心。
• 缺點：指南含糊不清且與技術無關，因此實施需要專業(yè)知識。

總結

Kubernetes帶來了巨大的好處，例如速度和敏捷性。遵守在這里探討的框架有助于最大程度地減少伴隨而來的任何風險。指導企業(yè)的團隊采用行業(yè)最佳實踐至關重要，采用一個或多個這些框架通常是標準化漏洞評估和持續(xù)安全的最佳方式。

雖然合規(guī)性可能需要開展一些前期工作，但在彈性和長期業(yè)務連續(xù)性方面的回報將是值得的。在許多情況下，企業(yè)也會發(fā)現(xiàn)一些附帶好處，例如優(yōu)化、消除低效流程和服務。從長遠來看，這可能會節(jié)省成本，并減輕團隊的管理負擔，同時全面保護Kubernetes環(huán)境，并確保實現(xiàn)最佳實踐的合規(guī)性。

網頁題目：如何在云原生格局中理解Kubernetes合規(guī)性和安全框架
鏈接地址：http://m.fisionsoft.com.cn/article/dphdpjh.html