[[395137]]

本文轉(zhuǎn)載自微信公眾號(hào)「 新鈦云服  」，作者喬冰誠 翻譯。轉(zhuǎn)載本文請(qǐng)聯(lián)系 新鈦云服  公眾號(hào)。

保護(hù)云工作負(fù)載在多云環(huán)境中變得更加復(fù)雜，原因有三點(diǎn)。首先，安全功能因提供程序而異。例如，Azure Sentinel與AWS CloudTrail不同。

其次，實(shí)施安全策略(例如如何訪問日志，記錄什么類型的數(shù)據(jù)或門戶網(wǎng)站對(duì)資源的管理訪問權(quán)限)在提供商之間有所不同。

第三，運(yùn)營安全任務(wù)也取決于提供商，并要考慮服務(wù)產(chǎn)品中的細(xì)微差別。因此，當(dāng)工作負(fù)載直接使用基礎(chǔ)安全服務(wù)時(shí)，可能會(huì)發(fā)生鎖定。

為減少這些挑戰(zhàn)，IT領(lǐng)導(dǎo)者可將業(yè)務(wù)流程納入組織的多云策略中。Kubernetes是一種流行的開源容器編排系統(tǒng)，可用于管理云工作負(fù)載，并在云提供商的本機(jī)安全服務(wù)與其客戶的安全策略目標(biāo)之間提供抽象層。

在某些情況下，多云編排工具還可以通過在訪問和使用安全服務(wù)的方式上實(shí)施標(biāo)準(zhǔn)化來減少鎖定。

另外，在適當(dāng)?shù)那闆r下，這些用例中的每一個(gè)都具有潛在的安全益處。在這里，了解Kubernetes如何為多云安全規(guī)劃增加價(jià)值，以及如何評(píng)估和選擇正確的部署選項(xiàng)。

Kubernetes在多云環(huán)境中的安全優(yōu)勢(shì)

Kubernetes安全價(jià)值主張的基礎(chǔ)來自其作為自動(dòng)執(zhí)行常見管理挑戰(zhàn)的框架的功能。例如，在部署VM或應(yīng)用程序容器時(shí)，業(yè)務(wù)流程管理置備，取消置備和按需資源擴(kuò)展，以及工作負(fù)載先決條件和依存關(guān)系，例如機(jī)密管理。

要了解Kubernetes對(duì)于多云架構(gòu)的價(jià)值，請(qǐng)考慮商店信用卡和銀行信用卡之間的區(qū)別。商店卡可提供其他功能，例如增加折扣和會(huì)員計(jì)劃，但僅限于一家商店。或者，普通卡使持卡人可以在任何地方購物，但無法獲得部分或全部額外利益。

編排提供程序在其產(chǎn)品中包含一些安全性至關(guān)重要的元素，例如，對(duì)存儲(chǔ)的機(jī)密信息實(shí)施適當(dāng)?shù)臋C(jī)密性，確保對(duì)機(jī)密信息和工作負(fù)載的訪問控制適當(dāng)，并驗(yàn)證是否為新的工作負(fù)載配置了適當(dāng)?shù)呐渲谩?/p>

編排平臺(tái)的內(nèi)置安全功能為組織提供了云提供商本機(jī)功能的替代方案，更重要的是，編排平臺(tái)可以理解的功能為組織提供了替代方案。這減少了供應(yīng)商鎖定，因?yàn)槲粗苯诱{(diào)用提供程序的本機(jī)安全服務(wù)。

在大多數(shù)情況下，組織可以重新部署基礎(chǔ)架構(gòu)，而不必重新實(shí)現(xiàn)基礎(chǔ)服務(wù)，而是可以移至其他提供商的實(shí)現(xiàn)。因此，可以按需要以工作負(fù)載不可見的方式換出基礎(chǔ)實(shí)現(xiàn)。

同樣，如果工作負(fù)載移動(dòng)，則可以輕松地將支持直接與業(yè)務(wù)流程平臺(tái)進(jìn)行交互的自動(dòng)化支持，度量標(biāo)準(zhǔn)和自定義工具重定向到其他環(huán)境，前提是這些功能受平臺(tái)本地支持。

如何在多云架構(gòu)中部署Kubernetes

在決定使業(yè)務(wù)流程適應(yīng)其多云安全策略時(shí)，組織需要建立最佳方法。這涉及三個(gè)主要步驟：定義范圍，了解部署選項(xiàng)和選擇部署模型。

定義范圍

首先，確定多云編排工具用例-例如：

• 一個(gè)與許多云托管環(huán)境對(duì)比。組織是否需要僅支持一個(gè)提供商或在不同提供商處提供多種服務(wù)?
• 混合環(huán)境。本地和托管云環(huán)境都需要支持嗎?
• 混合容器和VM環(huán)境。是用于VM和容器的相同編排服務(wù)，還是僅用于兩者之一?

了解部署選項(xiàng)

定義范圍后，IT主管需要確定適合組織需求和用例的正確部署模型。比較三個(gè)主要的部署模型-托管的Kubernetes服務(wù)，開源模型和自己構(gòu)建的模型-以及每個(gè)模型的功能，然后再做出決定。

1. 托管的Kubernetes服務(wù)。 許多公共云提供商在其服務(wù)集中提供了Kubernetes編排功能，包括Amazon Elastic Kubernetes服務(wù)(EKS)，Azure Kubernetes服務(wù)(AKS)和Google Kubernetes Engine(GKE)。

這些使組織能夠使用即服務(wù)型方法直接將其配置到他們的服務(wù)中，從而減輕了內(nèi)部設(shè)置和配置Kubernetes的負(fù)擔(dān)。

2.開源。Kubernetes Operations(kOps)等開放源代碼選項(xiàng)以及與之對(duì)應(yīng)的商業(yè)選項(xiàng)使組織能夠?qū)⒐ぷ髫?fù)載供應(yīng)自動(dòng)化到云環(huán)境中。

諸如AWS Fargate之類的工具可以跨云托管平臺(tái)工作，也可以在虛擬私有云或內(nèi)部部署到本地Kubernetes部署中。

3. 自己動(dòng)手。組織可以將編排軟件自己部署到提供商的彈性計(jì)算環(huán)境中。

選擇部署模型

在保護(hù)多云的正確部署選項(xiàng)上達(dá)成共識(shí)將取決于組織的目標(biāo)，環(huán)境和安全性目標(biāo)。

托管的Kubernetes服務(wù)(例如EKS，AKS和GKE)可實(shí)現(xiàn)快速部署。使用幕后的標(biāo)準(zhǔn)化編排機(jī)制，這些服務(wù)可促進(jìn)提供程序之間工作負(fù)載的可移植性，但在某種程度上會(huì)鎖定供應(yīng)商，這通常是因?yàn)樵品?wù)提供程序?qū)⒒A(chǔ)工具包裝在唯一的管理界面中。

這可以使習(xí)慣于云提供商的管理UI和安全模型的安全運(yùn)營人員受益，但是當(dāng)試圖對(duì)來自不同提供商的多個(gè)競(jìng)爭服務(wù)之間的管理視圖進(jìn)行標(biāo)準(zhǔn)化時(shí)，這種方法就不是最佳選擇。

與云無關(guān)的選項(xiàng)(例如kOps和商業(yè)選項(xiàng))可以彌補(bǔ)多云環(huán)境中托管的Kubernetes服務(wù)的某些缺點(diǎn)。但是請(qǐng)記住將支持哪些提供程序和哪些服務(wù)。

目前，kOps支持AWS，beta形式的Google Compute Engine和alpha形式的Azure。IT領(lǐng)導(dǎo)者需要仔細(xì)評(píng)估建議的使用情況，以確保根據(jù)組織的服務(wù)提供商使用情況配置文件支持所選工具。

自己動(dòng)手選件可提供最大程度的靈活性，因?yàn)槿魏味ㄖ崎_發(fā)的工具都將具有最大的便攜性。這種方法的缺點(diǎn)是，它需要更多的經(jīng)驗(yàn)，對(duì)平臺(tái)的敏銳度以及部署和維護(hù)該平臺(tái)的運(yùn)營人員的時(shí)間投入。

歸結(jié)為，針對(duì)任何特定組織的正確決策將根據(jù)其要求和用途而有所不同。與其他任何計(jì)劃任務(wù)一樣，請(qǐng)?zhí)崆傲私膺@些需求是什么，并根據(jù)部署選項(xiàng)系統(tǒng)地對(duì)其進(jìn)行分析，以找到最佳方法。

原文鏈接：https://searchcloudsecurity.techtarget.com/tip/Implement-Kubernetes-for-multi-cloud-architecture-security