隔离技术如何塑造Kubernetes安全的未来

在这次Help Net Security采访中,Edera首席执行官Emily Long讨论了Kubernetes集群中最常见的漏洞和有效的缓解策略。

Long分享了关于新兴隔离技术的见解,这些技术可以增强Kubernetes安全性并更好地保护容器化环境。

Kubernetes集群安全

当今Kubernetes集群中最常见的漏洞是什么,以及如何有效地缓解它们?

自十年前成立以来,Kubernetes在安全方面取得了重大进展。在部署最广泛的Kubernetes发行版和托管Kubernetes平台(如亚马逊的EKS、谷歌的GKE和微软的Azure)中,安全不是事后的想法,这些平台为控制平面提供了合理安全的默认值。然而,定义云提供商和客户安全责任的分担责任模型仍然将工作负载和多租户安全的责任放在客户身上。

大多数组织仍处于Kubernetes安全之旅的早期阶段,可见性和监控优先于安全默认值。因此,组织正在增加可见性工具的层,专注于可见性的安全供应商数量持续增加。更糟糕的是,这些安全工具的工作是在漏洞发生后被动监控,而实际上没有防止攻击。

这给组织留下了重大的漏洞需要解决,包括容器映像漏洞、过时和不受支持的Kubernetes集群,以及最值得注意的是,缺乏容器隔离来限制来自被入侵的pod的暴露。

缓解前两个漏洞在很大程度上取决于保持您的Kubernetes集群和容器映像是最新的,以减少已知漏洞的影响。即使使用最新的无CVE映像缓解已知的漏洞,容器缺乏真正的隔离意味着未知或特定于内部软件的漏洞仍然会使您的整个集群不可靠。

容器隔离需要的不仅仅是保持软件最新状态;考虑因素包括应用pod安全实践或使用启用内置隔离的容器运行时,这是今年刚刚推出的一项新技术。

开发人员如何确保Kubernetes pod为生产工作负载提供保护,特别是在考虑网络策略和资源限制时?

保护生产舱是一个复杂的话题。网络策略限制了pod可以发送和接收的网络流量,这是一个关键的安全因素。资源限制禁止“嚧嚚的邻居”吊舱消耗所有可用资源。虽然管理网络和资源至关重要,但仅仅保护Kubernetes中的生产工作负载是不够的。

Kubernetes提供限制pod权限的沙盒配置选项层。这些配置必须手工制作和维护,以锁定每个吊舱的功能。安全团队通常有专职人员从事行为分析,这需要特殊的工具和真实环境的复制模型,所有这些都是为了生成一个安全策略,当应用程序发生开发更改时,该策略可能会变得脆弱。限制特权旨在缓解从容器逃到主机系统或相邻pod的过度特权或恶意pod。相比之下,提供真正吊舱安全性和隔离的新技术避免了复杂的配置和维护需求。

Kubernetes Secrets管理通常被强调为一项关键的安全措施。在Kubernetes环境中安全管理秘密的最佳做法是什么?

保护秘密的黄金标准是使用密钥管理服务(KMS)在Kubernetes中启用秘密加密。虽然这是一个可靠的安全实践,但现实是,“秘密”需要以明文形式存在于任何需要它们的应用程序的内存中,在那里它们可以(几乎)总是被同一节点上的另一个进程窃取,并有足够的毅力。

我们在生产工作负载中讨论的相同pod隔离对于保护Kubernetes机密也至关重要。同一节点上的工作负载之间不共享明文内存的隔离技术导致没有毅力,并可以防止数据库密码、私钥或服务帐户凭据被盗。

组织应该如何保持其Kubernetes安全策略与不断变化的监管要求保持一致?

如果您正在运行来自云提供商的托管Kubernetes产品,他们将处理大多数合规性配置,如CIS基准和OWASP合规性。如果您运行Kubernetes集群,扫描这些框架是必不可少的。

虽然大多数合规框架不包括在内,但拥有Pod安全标准(PSS)基线策略也是一个好主意。

看看Kubernetes安全方面的最新创新,您认为哪些技术或方法将塑造保护容器化环境的未来?

专注于安全设计kubernetes产品,使安全从业人员易于在其基础设施中使用,将塑造容器化环境的未来。今天的点解决方案真正专注于监控,而不是实际上防止违规。

使用1型虚拟机管理程序在容器级别提供隔离等新技术使公司能够实现Kubernetes的最初承诺。容器不像在Linux命名空间中运行容器,而是像虚拟机客户一样被对待。这种方法的新奇之处在于,容器之间没有共享内核状态,内存安全的Rust控制平面可以进一步保护工作负载。由于该技术的构建方式,它可以在用户运行容器(公共云、私有云和本地)的任何地方使用,并且不需要虚拟化扩展或自定义基础设施。安全态势的简单性和强度是这种方法令人信服的地方。

这种隔离技术将塑造生产容器安全的未来。

参考来源:helpnetsecurity

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞6 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容