K8s 安全是云安全的未来

导语

到 2025 年,保护 Kubernetes (K8s) 将被认为是云安全最重要的方面。 在最成功的组织中,CTO 和 CISO 已经意识到 Kubernetes 安全的重要性。 但是,虽然 Kubernetes 已经占 CTO 云支出的很大一部分,但 CISO 仍然有所落后。 大多数 CISO 仍然专注于零信任模型——但是,他们很快就会意识到他们在 Kubernetes 中运行 98% 的 PCI 监管工作负载,因此需要转变他们的想法。

6b7d0cb873bbb70560667b8f690c55bb.jpeg

为什么k8s安全如此重要

我们进入了 Kubernetes 的第八年。 IBM 报告说,他们最大的交易和增长最快的收入来自他们的托管 K8s 平台 OpenShift。 vSphere 和 ESXi 等一些“老派”虚拟化技术如今仍在广泛使用。 但它们达到了成熟度和采用率的水平,这让客户想知道,“我们还要使用什么?”

Kubernetes 现在也达到了这一点。 不专注于保护 Kubernetes 的传统 CISO 将被逐步淘汰,取而代之的是技术性更强、深入参与平台工程并参与 AppSec 的 CTO 式 CISO。 所谓的 DevOps 几乎 100% 由 Kubernetes 提供支持。 现代基础设施意味着 K8s 不再是一个行项目——它是至关重要的。 工作变动将在未来两年内到来。 很快,您将开始看到新来的 CISO,他们更多地采用类似于 CTO 的角度。 这位 CISO 技术性更强,更深入地参与平台工程和 AppSec——这意味着保护 DevOps,特别是保护 Kubernetes。

但为什么 CTO 们都全力投入 Kubernetes 呢? 除了安全性之外,它通常归结为开发人员的效率。 他们的业务需要更快地运送东西,并且他们以前做事的方式很糟糕,遗留系统堆叠在遗留系统上。 一切都只是花费了更长的时间——可靠性也受到了影响。 但 Kubernetes 是最终的重置。 CTO 知道他们可以使用他们拥有的每个应用程序并将其作为容器运行,因此可以让更小的团队处理更小的块。 因此,您没有繁琐的委员会投票流程,而是让一个小团队花两周时间做一件事情,然后自动发布。 CTO 知道客户希望功能在他们完成的那一刻就出来,而 K8s 的速度和效率意味着他们可以比竞争对手更快地移动。 CTO 明白,通过减少支出和投入更多的计算基础设施(并在平台方面用更少的资源做更多的事情),他们可以将平台团队整合到一个 API 中。

如何开始

k8s复杂的体系能力一直都让人头疼,K8s的安全也同样具有相当复杂性,其包含了非常多的方面,那么面对越来越重要的K8s安全,我们又改从何处开始入手呢?我们建议可以从以下的方面:

提升镜像安全

容器是由软件组成的,新的常见漏洞和暴露(CVE)经常被披露。 如果您没有定期扫描容器镜像中的漏洞,它们很可能存在于您的容器镜像和已部署的容器中。到 2021 年,40% 的组织受到镜像漏洞影响的工作负载不到 10%,而到 2022 年,这一比例仅为 12%。恶意行为者的一种常见攻击媒介是已知漏洞,因此识别和修复这些漏洞是 对 Kubernetes 工作负载安全很重要。

持续检查K8s配置安全

Kubernetes有着非常多的配置,但并不是所有的配置默认都是设置安全的,而往往默认情况下它是不安全的。 例如,默认情况下,某些 Linux 功能会为 Kubernetes 工作负载启用,即使这些工作负载不需要这些功能。 基准数据表明,组织并没有像以前那样限制这些能力。 2021 年,42% 的组织针对大多数工作负载关闭了这些功能。所以为了避免出现“99%的损失是由于1%的人为错误产生”的情况,我们建议持续的检查K8s的配置安全性,保证K8s在一个安全的环境下运行。

7d386d0bec91b38f18a28db5dfdc75b0.jpeg

最小化权限

最小化权限是一个非常熟悉的概念,但是往往大家做的并不好。例如允许以根用户身份运行,根据报告,许多工作负载都允许使用此功能。 到 2022 年,允许以 root 身份运行的工作负载数量有所增加。 分析显示,44% 的组织正在运行 71% 或更多的工作负载允许 root 访问,而 2021 年这一比例为 22%。这是具有非常大的潜在风险的,所以发现权限的问题,并且持续的实践最小化权限,可以显著的提升整个系统的安全性。

 启用 K8s 的 RBAC

6b8570428e2682d419cf3d02af955f5f.jpeg

RBAC 可以帮助您定义谁有权访问 Kubernetes API 以及他们拥有哪些权限。RBAC 通常在 Kubernetes 1.6 及更高版本(后来在一些托管的 Kubernetes 提供程序上)默认启用。因为 Kubernetes 结合了授权控制器,所以当您启用 RBAC 时,您还必须禁用旧的基于属性的访问控制 (ABAC)。

使用 RBAC 时,更喜欢特定于命名空间的权限而不是集群范围的权限。即使在调试时,也不要授予集群管理员权限。仅在您的特定情况需要时才允许访问更为安全。

提升可视化

a9aa50c625d214e52fd501fc9f6f7297.jpeg

K8s复杂性的一个突出体现就是太多的操作和内容是命令执行和配置管理,但是可视化程度不高,在安全的范畴内,一个重要原则是可见才能安全,所以在开始提升安全能力的时候,不妨同时考虑全面提升可视化能力。让安全问题以更好的形式展现,让管理人员可以快速的定位和发现安全隐患。

总结

现在是 CISO 像 CTO 一样思考的时候了。 由于他们负责终端安全、数据安全和合规性,因此 K8s 可能不是 CISO 的首要计划。 但到 2025 年,CISO 和 CTO 的目标将围绕业务优先级进行调整,以包括更安全的 DevOps——这需要更安全的 K8s。 更安全的 Kubernetes 需要工具通过实时评估和检测 Kubernetes 环境的问题来更轻松、更有效地保护容器化基础设施。

关于HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

Github 地址:
https://github.com/HummerRisk/HummerRisk

Gitee 地址:
https://gitee.com/hummercloud/HummerRisk

44bda244ad3e5a01e0fbdd625f7481ef.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/17277.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Android Studio开发图书管理系统APP

Android Studio开发项目图书管理系统项目视频展示: 点击进入图书管理系统项目视频 引 言 现在是一个信息高度发达的时代,伴随着科技的进步,文化的汲取,人们对于图书信息的了解与掌握也达到了一定的高度。尤其是学生对于知识的渴…

asp.net基于web的学生选课成绩管理系统86程序

系统使用Visual studio.net2010作为系统开发环境,并采用ASP.NET技术,使用C#语言,以SQL Server为后台数据库。 本系统主要包含了“登录模块”、“系统用户管理模块”、“课程信息管理模块”、“教师信息管理模块”、“班级信息管理模块”、“…

Lattics ——一款简单易用、好看强大的知识管理工具

如何选择一款适合自己的知识管理工具? 对于很多用户而言,在追求效率的路上,经常需要一款适合自己的知识管理工具。然而,随着工具市场的发展,各种新兴工具层出不穷。在传统领域,有印象笔记、Onenote 为代表…

【笔试强训选择题】Day7.习题(错题)解析

作者简介:大家好,我是未央; 博客首页:未央.303 系列专栏:笔试强训选择题 每日一句:人的一生,可以有所作为的时机只有一次,那就是现在!!! 文章目录…

如何充分利用实时聊天系统?

随着商业和电子商务领域经历快速的数字革命,必须迅速适应的一个因素是我们与客户的互动方式。几年前,电子邮件和电话还是主要的客户联系方式。如今,客户期望更好的服务和更即时的沟通。实时聊天支持系统可以解决此问题,如SaleSmar…

IntelliNode:Node.js大模型访问统一接口库【Gen AI】

使用最新的 AI 模型更新你的应用程序可能具有挑战性,因为它涉及了解不同 AI 模型的复杂性并管理许多依赖项。 IntelliNode 是一个开源库,旨在通过提供统一且易于使用的界面来解决集成 AI 模型的挑战。 这使开发人员能够快速构建 AI 原型并使用高级 AI 功…

CompletableFuture

线程基础知识复习 大神:Doug Lea java.util.concurrent java.util.concurrent.aomic Java.util.concurrent.locks 硬件 摩尔定律: 它是由英特尔创始人之一 Gordon Moore(戈登摩尔)提出来的。其内容: 当价格不变是,集成电路…

python相对路径与绝对路径

9.1 Python 绝对路径与相对路径 - 知乎 (zhihu.com) 目录 1. 绝对路径 1.1 概念 1.2 用绝对路径打开文件 1.2 相对路径 1.3 python路径表示的斜杠问题 1. 绝对路径 1.1 概念 绝对路径 指完整的描述文件位置的路径。绝对路径就是文件或文件夹在硬盘上的完整路径。 在 Win…

Java 基础入门篇(二)—— Java 基础语法

文章目录 一、注释二、字面量三、变量3.1 变量概述3.2 变量在计算机中的底层原理 四、数据类型五、关键字、标志符六、类型转换6.1 自动类型转换6.2 表达式的自动类型转换6.3 强制类型转换 七、运算符7.1 基本算数运算符7.2 符号做连接符7.3 自增自减运算符7.4 赋值运算符7.5 …

基于simulink采用 QSHB 和 HBPS 算法的混合 MIMO 波束成形仿真

一、前言 本例展示了多输入多输出 (MIMO) 无线通信系统的 Simulink 模型。无线系统使用混合波束成形技术来提高系统吞吐量。 二、介绍 5G和其他现代无线通信系统广泛使用MIMO波束成形技术进行信噪比(SNR)增强和空间复用&#xff0…

Netty(2)

Netty 文章目录 Netty4 Netty 模型4.1 Netty 模型介绍4.2 Netty demo4.3 Netty 异步模型4.3.1 基本介绍4.3.2 异步模型4.3.3 Future-Listener 机制4.4 Netty 任务队列 task 4 Netty 模型 4.1 Netty 模型介绍 Netty 线程模式:Netty 主要基于主从 Reactor 多线程模型…

开放式基金净值估算数据 API 数据接口

开放式基金净值估算数据 API 数据接口 全量基金数据,实时数据,所有基金数据。 1. 产品功能 返回实时开放式基金净值估值可定义所有基金估值数据;多个基金属性值返回;多维指标,一次查询毫秒级返回;数据持续…

全球5G市场最新进展及未来展望

从智慧医疗到万物互联,从无人驾驶到关乎我国未来发展的“新基建”,自2019年全球5G商用启动后,5G就步入了发展“快车道”;2022年继续保持快速稳定的增长态势,在网络建设、人口覆盖、终端形态等方面发展势头强劲,在技术标…

【致敬未来的攻城狮计划】— 连续打卡第二十三天:RA2E1的存储器基础知识

系列文章目录 1.连续打卡第一天:提前对CPK_RA2E1是瑞萨RA系列开发板的初体验,了解一下 2.开发环境的选择和调试(从零开始,加油) 3.欲速则不达,今天是对RA2E1 基础知识的补充学习。 4.e2 studio 使用教程 5.…

每天一道算法练习题--Day18 第一章 --算法专题 --- ----------前缀树

前缀树 字典树也叫前缀树、Trie。它本身就是一个树型结构,也就是一颗多叉树,学过树的朋友应该非常容易理解,它的核心操作是插入,查找。删除很少使用,因此这个讲义不包含删除操作。 截止目前(2020-02-04&a…

基于R语言APSIM模型应用

随着数字农业和智慧农业的发展,基于过程的农业生产系统模型在模拟作物对气候变化的响应与适应、农田管理优化、作物品种和株型筛选、农田固碳和温室气体排放等领域扮演着越来越重要的作用。APSIM (Agricultural Production Systems sIMulator)模型是世界知名的作物生…

净利润下滑13%,帅丰电器已掉队?

近年来,随着市场竞争加剧,厨电行业加速洗牌,超60%杂牌或被淘汰出局,三类品牌全部被清退。而作为毛利最高的厨电细分市场,集成灶行业吸引了大批企业涌入,市场渗透率快速提升,已经超过30%&#xf…

华为MPLS跨域——后门链路实验配置

目录 配置PE与CE设备对接命令(通过OSPF对接) 配置后门链路 可以使用任意方式来跑跨域MPLS(A、B、C1、C2都可以),不过关于传递Vpnv4路由的配置此处不做介绍;此处只介绍关于PE和CE对接的配置和关于后门链路…

数据存储系统概要

可靠、可扩展与可维护性 现在有很多都属于数据密集型,而不是计算密集型。对于这些类型应用,CPU的处理能力往往不是第一限制性因素,关键在于数据量、数据的复杂度及数据的快速多边形。 数据密集型应用模块: 数据库:存…

对标世界一流|从Just in time到Just in case ——汽车行业供应链管理经验借鉴

01 丰田汽车精益生产 作为最复杂和最成熟的供应链之一,汽车行业供应链无疑是供应链领域集大成者,而提起汽车行业供应链,就不得不提到丰田汽车;提到丰田汽车,就肯定离不开大名鼎鼎的精益生产以及JIT模式。 JIT模式由丰…