如何在雲原生格局中理解Kubernetes合規性和安全框架

語言: CN / TW / HK

Kubernetes(K8s)之所以成為世界領先的容器編排平臺是有原因的,調查表明如今有74%的IT公司將其用於生產中的容器化工作負載。它通常是大規模處理容器配置、部署和管理的最簡單方法。但是,儘管Kubernetes讓容器的使用變得更容易,但在安全性方面也增加了複雜性。

Kubernetes的預設配置並不總是為部署的所有工作負載和微服務提供最佳的安全性。此外,企業如今不僅要負責保護其運營環境免受惡意網路攻擊,還要滿足各種合規性要求。

合規性已經成為確保業務連續性、防止聲譽受損以及確定每個應用程式的風險級別的關鍵因素。合規性框架旨在通過輕鬆監控、團隊級別的問責制以及漏洞評估來解決安全和隱私問題——所有這些都在Kubernetes環境中提出了獨特的挑戰。

為了完全保護Kubernetes,需要採用多管齊下的方法:乾淨的程式碼、完全的可觀察性、防止與不受信任的服務交換資訊以及數字簽名;還必須考慮網路、供應鏈和持續整合(CI)/持續交付(CD)管道安全、資源保護、架構最佳實踐、機密管理和保護、漏洞掃描和容器執行時保護。合規性框架可以幫助企業系統地管理所有這些複雜性。

以下了解五個主要安全框架以及它們如何幫助企業更安全地使用Kubernetes。

1. 網際網路安全中心(CIS)Kubernetes基準

網際網路安全中心(CIS)是一家歷史悠久的全球安全組織,已將其Kubernetes基準建立為一個“客觀、共識驅動的安全指南”,為叢集元件配置提供行業標準建議,並強化Kubernetes安全態勢。等級1建議實施起來相對簡單,同時提供主要好處,通常不會影響業務功能。等級2或“深度防禦”建議適用於需要更全面戰略的關鍵任務環境。

網際網路安全中心(CIS)還提供確保叢集資源符合基準併為不合規元件生成警報的工具。網際網路安全中心(CIS)框架適用於所有Kubernetes發行版。

  • 優點:嚴格且被廣泛接受的配置設定藍圖。
  • 缺點:並非所有建議都與所有企業相關,因此必須進行相應評估。

2. Kubernetes的NIST應用容器安全

美國政府的國家標準與技術研究院(NIST)提供了專門的應用程式容器安全指南,作為其自願框架的一部分。該指南重點介紹了Kubernetes環境的安全挑戰,其中包括映像、登錄檔、編排器、容器和主機作業系統,並基於最佳實踐提供了對策。

例如,NIST建議利用Kubernetes(或其他協調器)提供敏感資訊的原生管理能力,在執行時安全地將此資料供應到Web應用程式容器中,同時確保只有Web應用程式容器才能訪問這些敏感資訊,並且該資料不會持久儲存到磁碟。

  • 優點:值得信賴的標準化風險管理方法。
  • 缺點:要求可能不明確,需要專業知識才能正確實施。

3. NSA和CISA的Kubernetes強化指南

美國國家安全域性(NSA)和網路安全與基礎設施安全域性(CISA)最近釋出了他們的Kubernetes強化指南,其中描述並詳細說明了對Kubernetes叢集的特定威脅,並在五個關鍵領域提供了強化指南:

  • KubernetesPod安全
  • 網路分離和加固
  • 認證和授權
  • 日誌審計
  • 升級和應用安全實踐

該報告強調了供應鏈風險中的危害,來自惡意行為者和基礎設施級別的內部威脅,識別常見漏洞,並推薦最佳實踐以避免錯誤配置。

  • 優點:非常詳細、實用、實際、特定於Kubernetes的建議。
  • 缺點:不包括對容器生命週期安全管理的建議。

4. Kubernetes的MITREATT&CK®矩陣

Kubernetes的威脅矩陣由廣受認可的MITREATT&CK(對抗性策略、技術和常識)矩陣發展而來,它採用了一種以當今領先的網路威脅和黑客技術為基礎的不同方法。

該矩陣用於在對手的攻擊生命週期內以及在常見目標平臺上進行威脅建模,同時提供危害指標和攻擊指標。對抗性方法使所有安全和滲透團隊能夠構建強大的威脅建模,並對網路攻擊做出更全面的響應。

  • 優點:廣泛的、最新的對手戰術資料庫。
  • 缺點:實施複雜、昂貴的框架,指導不明確,而不是提供精確的緩解步驟。

5. Kubernetes的PCIDSS合規性

支付卡行業資料安全標準(PCIDSS)是儲存、處理或傳輸支付卡資料的每個企業所需的一組強制性技術和操作要求。其核心原則是對持卡人資料的儲存和處理環境進行細分。在Kubernetes中,這是使用邏輯、網路和服務等級分段來完成的。

雖然核心PCIDSS標準中沒有直接涉及容器和微服務,但云計算指南補充提供了容器編排指南。

在Kubernetes中,開源包裝、容器壽命、蔓延和連線性的某些屬性都使PCIDSS合規性變得複雜。此外,在處理交易時,容器與平臺上的其他幾個元件進行通訊。

例如,如果企業有一個或多個容器在一個或多個專用Kubernetes伺服器中執行,則有責任確保範圍、分段和驗證以及客戶資料之間的隔離滿足PCIDSS要求。

  • 優點:對於處理支付卡資料的企業來說是強制性的;建立消費者信心。
  • 缺點:指南含糊不清且與技術無關,因此實施需要專業知識。

總結

Kubernetes帶來了巨大的好處,例如速度和敏捷性。遵守在這裡探討的框架有助於最大程度地減少伴隨而來的任何風險。指導企業的團隊採用行業最佳實踐至關重要,採用一個或多個這些框架通常是標準化漏洞評估和持續安全的最佳方式。

雖然合規性可能需要開展一些前期工作,但在彈性和長期業務連續性方面的回報將是值得的。在許多情況下,企業也會發現一些附帶好處,例如優化、消除低效流程和服務。從長遠來看,這可能會節省成本,並減輕團隊的管理負擔,同時全面保護Kubernetes環境,並確保實現最佳實踐的合規性。