【51CTO.com快譯】隨著眾多企業(yè)依賴Kubernetes來部署應(yīng)用程序，這個開源容器編排項目近些年來變得越來越重要。越來越依賴的同時安全方面的審查也越來越嚴(yán)，尤其是在谷歌，谷歌提供一項名為谷歌Kubernetes引擎(GKE)的托管Kubernetes服務(wù)。

12月11日至13日KubeCon大會在西雅圖如期召開，谷歌的安全與隱私產(chǎn)品經(jīng)理Maya Kaczorowski在之前舉辦的新聞發(fā)布會上概述了谷歌現(xiàn)在和將來為幫助保護(hù)Kubernetes所采取的措施。

她說：“客戶詢問的問題主要圍繞配置和安全地搭建Kubernetes。”

Kubernetes是一個最初由谷歌開發(fā)和領(lǐng)導(dǎo)的開源項目;自2015年以來，Kubernetes一直歸云原生計算基金會(CNCF)監(jiān)管。AWS和微軟Azure都運(yùn)行各自的托管Kubernetes服務(wù)，還有來自多家供應(yīng)商的商業(yè)產(chǎn)品，包括IBM、Red Hat、SUSE、Pivotal和思科等。GKE服務(wù)基于上游的Kubernetes項目，體現(xiàn)了谷歌對于Kubernetes在公共云中如何運(yùn)行的看法。

Kaczorowski表示，客戶向谷歌詢問GKE方面的諸多問題，包括基礎(chǔ)設(shè)施安全問題，許多企業(yè)很想知道如何利用Kubernetes安全功能來保護(hù)用戶身份，它們還很想知道軟件供應(yīng)鏈以及某個特定的容器應(yīng)用程序映像是否可以安全地部署。她特別指出，由于媒體報道Docker Hub中存在易受攻擊的應(yīng)用程序，加上NPM事件流模塊最近爆出了問題，容器應(yīng)用程序映像的安全性在2018年已成了許多企業(yè)關(guān)注的一大問題。

她說：“用戶擔(dān)心自己的環(huán)境會出現(xiàn)什么意外。”

Kaczorowski補(bǔ)充道，比較精明的用戶在詢問運(yùn)行時安全性問題以及如何識別存在惡意行為的容器。用戶還有興趣想了解如何對受安全問題影響的容器進(jìn)行分析。

谷歌在做什么?

谷歌不僅僅將上游Kubernetes直接拿來部署成GKE。確切地說，Kaczorowski表示谷歌在默認(rèn)情況下實(shí)施安全最佳實(shí)踐。

她說：“我們不滿足于開源社區(qū)的現(xiàn)狀，落實(shí)了另外的限制措施，以保護(hù)用戶。”

GKE實(shí)施的最顯著的限制之一就是受限制的Kubernetes儀表板。2018年，包括特斯拉和Weight Watchers在內(nèi)的多家企業(yè)的Kubernetes環(huán)境遭到了攻擊，就因?yàn)樗鼈內(nèi)斡蒏ubernetes儀表板敞開、暴露于互聯(lián)網(wǎng)上。Lacework在6月19日發(fā)布的一項調(diào)查發(fā)現(xiàn)了21169個面向公眾的Kubernetes儀表板，其中部署的300個使用敞開的管理儀表板，并沒有任何必需的訪問登錄信息。

谷歌還利用私有集群和授權(quán)網(wǎng)絡(luò)來幫助保護(hù)GKE用戶。

Kaczorowski說：“這么做的目的是為節(jié)點(diǎn)提供私有IP地址，然后使用用戶白名單中的一組IP地址，對通過IP訪問控制面板予以限制。”

Kubernetes運(yùn)行在操作系統(tǒng)上;以谷歌為例，這是一個極簡操作系統(tǒng)，經(jīng)過加固，并專門構(gòu)建。Kaczorowski表示，這個極簡操作系統(tǒng)基于谷歌的Chromium OS(支持谷歌Chromebook)。她表示，GKE OS需要盡量簡單，以便減小潛在漏洞的攻擊面。

她說：“它不需要很多東西，因?yàn)橛脩艉腿萜鲙砹撕芏鄸|西，于是谷歌為這一層構(gòu)建了自己的操作系統(tǒng)，名為針對容器優(yōu)化的操作系統(tǒng)(COS)，它建立在Chromium上。”

對IT人員來說，升級打上安全補(bǔ)丁始終是最佳實(shí)踐，而GKE通過其節(jié)點(diǎn)自動升級功能來做到這一點(diǎn)。Kaczorowski表示，GKE為用戶管理Kubernetes控制平面，包括更新該控制平面，并在需要時打補(bǔ)丁。

7月24日谷歌Next大會上宣布了另一項核心的谷歌容器安全功能，當(dāng)時推出了Container Registry Vulnerability服務(wù)，該服務(wù)提供自動掃描容器映像的功能，幫助識別已知的安全漏洞。在Next大會上，谷歌還宣布了Binary Authorization，該服務(wù)可以在映像部署到生產(chǎn)環(huán)境之前驗(yàn)證映像滿足某些要求。在5月3日的KubeCon歐洲大會上，谷歌宣布了容器運(yùn)行時安全項目，包括與Aqua Security、Capsule8、StackRox、Sysdig和Twistlock達(dá)成合作伙伴關(guān)系。Kaczorowski在接受eWEEK的視頻采訪時詳細(xì)介紹了這個容器安全合作項目。

2019年展望

展望2019年，Kaczorowski預(yù)計IT安全領(lǐng)域會出現(xiàn)兩大趨勢。第一大趨勢是簡化一切。

她說“現(xiàn)在，做到讓正確配置的Kubernetes搭建并運(yùn)行起來，用戶面臨的壓力相當(dāng)大。于是在GKE中，我們做了大量的工作來簡化這方面，但對開源版本而言，這實(shí)在太困難了。”

Kaczorowski希望核心開源Kubernetes社區(qū)不僅僅滿足于簡化Kubernetes并提供更好的默認(rèn)設(shè)置。

專門針對Kubernetes的攻擊是Kaczorowski預(yù)測會出現(xiàn)的另一個趨勢。她表示，到目前為止，針對容器的許多攻擊可以歸類為“路過式”攻擊，即攻擊者隨機(jī)掃描環(huán)境，尋找已知漏洞。

她說：“攻擊者甚至都沒有意識到在攻擊容器化的環(huán)境，他們可能甚至都不關(guān)心。我們可能會開始看到人們更頻繁地掃描Kubernetes漏洞。”

原文標(biāo)題：How Google Is Improving Kubernetes Container Security，作者：Sean Michael Kerner

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】