如何在云原生格局中理解Kubernetes合规性和安全框架

语言: CN / TW / HK

Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的,调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是,尽管Kubernetes让容器的使用变得更容易,但在安全性方面也增加了复杂性。

Kubernetes的默认配置并不总是为部署的所有工作负载和微服务提供最佳的安全性。此外,企业如今不仅要负责保护其运营环境免受恶意网络攻击,还要满足各种合规性要求。

合规性已经成为确保业务连续性、防止声誉受损以及确定每个应用程序的风险级别的关键因素。合规性框架旨在通过轻松监控、团队级别的问责制以及漏洞评估来解决安全和隐私问题——所有这些都在Kubernetes环境中提出了独特的挑战。

为了完全保护Kubernetes,需要采用多管齐下的方法:干净的代码、完全的可观察性、防止与不受信任的服务交换信息以及数字签名;还必须考虑网络、供应链和持续集成(CI)/持续交付(CD)管道安全、资源保护、架构最佳实践、机密管理和保护、漏洞扫描和容器运行时保护。合规性框架可以帮助企业系统地管理所有这些复杂性。

以下了解五个主要安全框架以及它们如何帮助企业更安全地使用Kubernetes。

1. 互联网安全中心(CIS)Kubernetes基准

互联网安全中心(CIS)是一家历史悠久的全球安全组织,已将其Kubernetes基准创建为一个“客观、共识驱动的安全指南”,为集群组件配置提供行业标准建议,并强化Kubernetes安全态势。等级1建议实施起来相对简单,同时提供主要好处,通常不会影响业务功能。等级2或“深度防御”建议适用于需要更全面战略的关键任务环境。

互联网安全中心(CIS)还提供确保集群资源符合基准并为不合规组件生成警报的工具。互联网安全中心(CIS)框架适用于所有Kubernetes发行版。

  • 优点:严格且被广泛接受的配置设置蓝图。
  • 缺点:并非所有建议都与所有企业相关,因此必须进行相应评估。

2. Kubernetes的NIST应用容器安全

美国政府的国家标准与技术研究院(NIST)提供了专门的应用程序容器安全指南,作为其自愿框架的一部分。该指南重点介绍了Kubernetes环境的安全挑战,其中包括映像、注册表、编排器、容器和主机操作系统,并基于最佳实践提供了对策。

例如,NIST建议利用Kubernetes(或其他协调器)提供敏感信息的原生管理能力,在运行时安全地将此数据供应到Web应用程序容器中,同时确保只有Web应用程序容器才能访问这些敏感信息,并且该数据不会持久保存到磁盘。

  • 优点:值得信赖的标准化风险管理方法。
  • 缺点:要求可能不明确,需要专业知识才能正确实施。

3. NSA和CISA的Kubernetes强化指南

美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近发布了他们的Kubernetes强化指南,其中描述并详细说明了对Kubernetes集群的特定威胁,并在五个关键领域提供了强化指南:

  • KubernetesPod安全
  • 网络分离和加固
  • 认证和授权
  • 日志审计
  • 升级和应用安全实践

该报告强调了供应链风险中的危害,来自恶意行为者和基础设施级别的内部威胁,识别常见漏洞,并推荐最佳实践以避免错误配置。

  • 优点:非常详细、实用、实际、特定于Kubernetes的建议。
  • 缺点:不包括对容器生命周期安全管理的建议。

4. Kubernetes的MITREATT&CK®矩阵

Kubernetes的威胁矩阵由广受认可的MITREATT&CK(对抗性策略、技术和常识)矩阵发展而来,它采用了一种以当今领先的网络威胁和黑客技术为基础的不同方法。

该矩阵用于在对手的攻击生命周期内以及在常见目标平台上进行威胁建模,同时提供危害指标和攻击指标。对抗性方法使所有安全和渗透团队能够构建强大的威胁建模,并对网络攻击做出更全面的响应。

  • 优点:广泛的、最新的对手战术数据库。
  • 缺点:实施复杂、昂贵的框架,指导不明确,而不是提供精确的缓解步骤。

5. Kubernetes的PCIDSS合规性

支付卡行业数据安全标准(PCIDSS)是存储、处理或传输支付卡数据的每个企业所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在Kubernetes中,这是使用逻辑、网络和服务等级分段来完成的。

虽然核心PCIDSS标准中没有直接涉及容器和微服务,但云计算指南补充提供了容器编排指南。

在Kubernetes中,开源包装、容器寿命、蔓延和连接性的某些属性都使PCIDSS合规性变得复杂。此外,在处理交易时,容器与平台上的其他几个组件进行通信。

例如,如果企业有一个或多个容器在一个或多个专用Kubernetes服务器中运行,则有责任确保范围、分段和验证以及客户数据之间的隔离满足PCIDSS要求。

  • 优点:对于处理支付卡数据的企业来说是强制性的;建立消费者信心。
  • 缺点:指南含糊不清且与技术无关,因此实施需要专业知识。

总结

Kubernetes带来了巨大的好处,例如速度和敏捷性。遵守在这里探讨的框架有助于最大程度地减少伴随而来的任何风险。指导企业的团队采用行业最佳实践至关重要,采用一个或多个这些框架通常是标准化漏洞评估和持续安全的最佳方式。

虽然合规性可能需要开展一些前期工作,但在弹性和长期业务连续性方面的回报将是值得的。在许多情况下,企业也会发现一些附带好处,例如优化、消除低效流程和服务。从长远来看,这可能会节省成本,并减轻团队的管理负担,同时全面保护Kubernetes环境,并确保实现最佳实践的合规性。