与此同时,攻击者也将越来越多地目光投向正在加速发展的容器和 Kubernetes 环境。虽然 Kubernetes 本身并不是不安全的,但安装过程中权限过度的常见问题、已知漏洞数量的增加、跳过更新、卸载的软件补丁以及备份和恢复方面的差距使 Kubernetes 部署成为对恶意行为者有吸引力的攻击媒介。
这会对容器化环境会产生什么影响,尤其是当企业越来越多地依靠 Kubernetes 应用程序来推动运营成功时?ITOps Times 指出,将弱点和可能的故障点考虑在内,对于确保云原生系统准备好应对持续的勒索软件威胁至关重要。且在致力于防范勒索软件攻击的发生同时,计划如何从勒索软件中恢复也同样重要。
为了减轻勒索软件的威胁,其列举了 IT 和网络安全团队可以采取的确保 Kubernetes 环境安全和弹性的三种方法,具体如下:
1、投资合适的云原生工具
应对任何安全威胁的第一道防线是良好的网络卫生。这意味着确保你需要有正确的工具来保护云原生环境--功能需要以微服务为中心、可移植和自动管理。由于应用程序和服务的快速、持续交付,安全能力需要与云原生开发的速度和规模相匹配。因为威胁可能来自任何方向,端点和周边保护不再有意义,所以企业需要关注安全工作负载和数据中心。检测变得注重实时的运行环境,而不是静态的签名。最重要的是,保护需要围绕一个组织的整个软件堆栈,无论它是纯云还是混合。
理想的云原生软件堆栈将上述元素与可扩展的安全组合结合起来,并对企业不断变化的需求做出反应。虽然云原生环境正在迅速发展,但有一些标准的问题功能可以支持"零信任"的概念,即每一个应用程序或服务都被认为是攻击者的目标,应该予以考虑。其中包括提供 API 安全性的解决方案;身份验证和身份/访问管理;数据加密;漏洞管理和自动软件补丁;Kubernetes 特定的安全功能,基础设施即代码安全;以及通过备份、灾难恢复和应用程序移动性的 Kubernetes 数据保护。
2、强化备份
备份对于勒索软件保护变得越来越重要。为确保它们有效,备份必须实现不变性、创建唯一的代码路径,并在对象存储提供程序和加密备份之间具有最小的权限和特权分离。保护备份以实现最大效率并实现无缝恢复是强大的勒索软件数据保护策略的一部分。
但是企业 IT 和安全团队应该意识到 Kubernetes 应用程序与传统系统相比的不同操作要求。应用程序状态和配置数据对于 Kubernetes 环境很重要,但在遗留系统中几乎没有相关性。此外,由于潜在的数据丢失,快照对于 Kubernetes 中的恢复和长期数据保留是不可靠的。
应用程序的可移植性和可扩展性是任何强大的Kubernetes备份解决方案中需要考虑的其他因素。云原生环境在可移植性方面提供了最多的选择,组织必须能够在集群、区域和不同的基础设施之间利用这一优势,以确保有效的恢复。此外,基于 Kubernetes 的应用对规模的要求也随着应用组件的增长而增加;ConfigMaps、secrets 等、动态自动缩放(集群和应用程序)以及 polyglot 持久性(单个云原生应用使用的多个数据库)都是解决这一需求的可扩展解决方案的关键组成部分。考虑到传统的、单一的基础设施和云原生环境之间的主要差异,将确保备份得到足够的强化,以对冲勒索软件等紧迫威胁。
3、确保恢复工作无懈可击--最后一道防线
尽管有灾难计划,但勒索软件攻击有时确实会成功。作为组织的最后一道防线,恢复能力应该到位。勒索软件攻击不是一刀切的,攻击者会努力寻找合适的目标。就 Kubernetes 而言,对集群的攻击可能源于一些"简单"的东西,如一个被忽视的、未经认证的端点或一个未修补的漏洞。在攻击成功的情况下,通过细粒度的恢复来快速恢复,对于保护敏感数据不被利用和快速恢复业务运营至关重要。
企业 IT 团队使用 Kubernetes 等平台在不同地点运行和维护数以千计的应用程序,实现自动化--手动监督所有这些应用程序是一项几乎超出人类能力的任务。恢复的解决方案也应促进自动化,并像云原生安全堆栈的其他部分一样,无缝集成到现有的工作流程中。
现如今,随着勒索软件的威胁越来越大,攻击也越来越复杂,实施正确的程序来预防和恢复攻击是至关重要的。Kubernetes 是现代计算的统一结构,使用它来减轻当今风险环境中最紧迫的数据威胁是目前最好的防御措施之一。
本文转自OSCHINA
本文保护 Kubernetes 数据免遭勒索软件侵害的三种方法
本文地址:https://www.oschina.net/news/152308/kubernetes-data-ransomware-three-ways