文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

确保Kubernetes安全的三个阶段:构建、部署和运行时!

2024-12-11 17:21

关注

 Kubernetes安全是许多组织面临的问题。TechRepublic在2020年发表的一篇报告显示,94%的受访者表示,其组织在过去12个月遇到过涉及Kubernetes和容器环境的安全事件。近一半(44%)的组织通过延迟将应用程序部署到生产环境来应对这些事件。

[[336120]]

这些发现表明,对于力求将容器和Kubernetes应用程序部署到生产环境的组织来说,安全是优先事项,而且需要继续是这样。为了尽可能顺畅地部署,组织要了解整个应用程序开发生命周期的安全和合规要求。这意味着将安全集成到容器生命周期的三个阶段:构建、部署和运行时。

第一个阶段:构建

应用程序开发生命周期的构建阶段中存在的漏洞在运行时可能变得更难修复,且成本更高。这就是为什么组织在构建阶段关注容器安全很重要。它们可以通过遵循这几个安全最佳实践来做到这一点:

第二个阶段:部署

组织需要在部署Kubernetes基础架构之前做好保护。这项工作应先确保组织对其网络有足够的可见性。Help Net Security(https://www.helpnetsecurity.com/2019/06/17/runtime-container-security/)阐明了可见性对于确保容器安全的重要性:

通过深入的可见性和保护来保护网络至关重要,因为网络是防止恶意攻击者接触工作负载的第一道防线。同时,网络是保护数据以免泄露的最后一道防线。在这第一道防线和最后一道防线之间,网络可见性和适当的网络控制可以防止内部东西向流量内的攻击不断升级。

在可见性方面,除了具体了解能访问哪些资源外,组织还要具体了解每种资源部署在哪里、如何部署。然后,它们可以利用网络策略来调整在Pod和集群之间传输的流量。正如Kubernetes在官网上指出,默认情况下pod不是隔离的,因此可以接受来自任何来源的流量。幸好,组织可以通过创建网络策略来限制这些通信流。

组织也不应忘记在部署阶段扫描映像。一旦获得了这些扫描的结果,就要对其采取行动。比如说,如果容器映像缺少扫描结果或存在已知漏洞,组织可以使用那些扫描的结果以及准入控制器来拒绝部署应用程序。

第三个阶段:运行时

最后但并非最不重要的一点是,组织需要在运行时阶段致力于容器安全。在此阶段,可见性和映像扫描仍然很重要。但是组织需要记住一些重要的差异。StackRox介绍了映像扫描在构建阶段和运行时阶段之间有何区别(https://www.stackrox.com/post/2020/04/container-image-security-beyond-vulnerability-scanning/):

在生产系统上运行时,可以利用生成和编译应用程序所使用的构建工具。请记住,应将容器视为暂时的临时实体。切勿计划“打补丁”或更改运行中的容器。构建新映像,并替换过时的容器部署。使用多阶段Dockerfile,使软件编译远离运行时映像。

同样,组织可以确保其运行时容器安全的唯一方法是确保网络上的异常行为无处隐藏。 Help Net Security解释,因此,组织需要能够在第7层检查网络数据包。这么一来,组织还将能够利用深度数据包检查(DPI)及其他类型的技术,有助于发现更狡猾的攻击。

原文Build, Deploy, Runtime: The 3 Stages of Kubernetes Security,作者:David Bisson

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

来源:51CTO内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯