數(shù)據(jù)顯示，從 2019 年到 2020 年，勒索軟件攻擊增加了 150%，受害者支付的金額增加了 300% 以上。勒索軟件可以對(duì)各種規(guī)模的企業(yè)造成破壞，而隨著勒索軟件攻擊的增加，今年的支付金額則預(yù)計(jì)將超過 200 億美元，企業(yè)數(shù)據(jù)保護(hù)比以往任何時(shí)候都更加重要。

與此同時(shí)，攻擊者也將越來越多地目光投向正在加速發(fā)展的容器和 Kubernetes 環(huán)境。雖然 Kubernetes 本身并不是不安全的，但安裝過程中權(quán)限過度的常見問題、已知漏洞數(shù)量的增加、跳過更新、卸載的軟件補(bǔ)丁以及備份和恢復(fù)方面的差距使 Kubernetes 部署成為對(duì)惡意行為者有吸引力的攻擊媒介。

這會(huì)對(duì)容器化環(huán)境會(huì)產(chǎn)生什么影響，尤其是當(dāng)企業(yè)越來越多地依靠 Kubernetes 應(yīng)用程序來推動(dòng)運(yùn)營(yíng)成功時(shí)?ITOps Times 指出，將弱點(diǎn)和可能的故障點(diǎn)考慮在內(nèi)，對(duì)于確保云原生系統(tǒng)準(zhǔn)備好應(yīng)對(duì)持續(xù)的勒索軟件威脅至關(guān)重要。且在致力于防范勒索軟件攻擊的發(fā)生同時(shí)，計(jì)劃如何從勒索軟件中恢復(fù)也同樣重要。

[[413493]]

為了減輕勒索軟件的威脅，其列舉了 IT 和網(wǎng)絡(luò)安全團(tuán)隊(duì)可以采取的確保 Kubernetes 環(huán)境安全和彈性的三種方法，具體如下：

1、投資合適的云原生工具

應(yīng)對(duì)任何安全威脅的第一道防線是良好的網(wǎng)絡(luò)衛(wèi)生。這意味著確保你需要有正確的工具來保護(hù)云原生環(huán)境--功能需要以微服務(wù)為中心、可移植和自動(dòng)管理。由于應(yīng)用程序和服務(wù)的快速、持續(xù)交付，安全能力需要與云原生開發(fā)的速度和規(guī)模相匹配。因?yàn)橥{可能來自任何方向，端點(diǎn)和周邊保護(hù)不再有意義，所以企業(yè)需要關(guān)注安全工作負(fù)載和數(shù)據(jù)中心。檢測(cè)變得注重實(shí)時(shí)的運(yùn)行環(huán)境，而不是靜態(tài)的簽名。最重要的是，保護(hù)需要圍繞一個(gè)組織的整個(gè)軟件堆棧，無論它是純?cè)七€是混合。

理想的云原生軟件堆棧將上述元素與可擴(kuò)展的安全組合結(jié)合起來，并對(duì)企業(yè)不斷變化的需求做出反應(yīng)。雖然云原生環(huán)境正在迅速發(fā)展，但有一些標(biāo)準(zhǔn)的問題功能可以支持"零信任"的概念，即每一個(gè)應(yīng)用程序或服務(wù)都被認(rèn)為是攻擊者的目標(biāo)，應(yīng)該予以考慮。其中包括提供 API 安全性的解決方案;身份驗(yàn)證和身份/訪問管理;數(shù)據(jù)加密;漏洞管理和自動(dòng)軟件補(bǔ)丁;Kubernetes 特定的安全功能，基礎(chǔ)設(shè)施即代碼安全;以及通過備份、災(zāi)難恢復(fù)和應(yīng)用程序移動(dòng)性的 Kubernetes 數(shù)據(jù)保護(hù)。

2、強(qiáng)化備份

備份對(duì)于勒索軟件保護(hù)變得越來越重要。為確保它們有效，備份必須實(shí)現(xiàn)不變性、創(chuàng)建唯一的代碼路徑，并在對(duì)象存儲(chǔ)提供程序和加密備份之間具有最小的權(quán)限和特權(quán)分離。保護(hù)備份以實(shí)現(xiàn)最大效率并實(shí)現(xiàn)無縫恢復(fù)是強(qiáng)大的勒索軟件數(shù)據(jù)保護(hù)策略的一部分。

但是企業(yè) IT 和安全團(tuán)隊(duì)?wèi)?yīng)該意識(shí)到 Kubernetes 應(yīng)用程序與傳統(tǒng)系統(tǒng)相比的不同操作要求。應(yīng)用程序狀態(tài)和配置數(shù)據(jù)對(duì)于 Kubernetes 環(huán)境很重要，但在遺留系統(tǒng)中幾乎沒有相關(guān)性。此外，由于潛在的數(shù)據(jù)丟失，快照對(duì)于 Kubernetes 中的恢復(fù)和長(zhǎng)期數(shù)據(jù)保留是不可靠的。

應(yīng)用程序的可移植性和可擴(kuò)展性是任何強(qiáng)大的Kubernetes備份解決方案中需要考慮的其他因素。云原生環(huán)境在可移植性方面提供了最多的選擇，組織必須能夠在集群、區(qū)域和不同的基礎(chǔ)設(shè)施之間利用這一優(yōu)勢(shì)，以確保有效的恢復(fù)。此外，基于 Kubernetes 的應(yīng)用對(duì)規(guī)模的要求也隨著應(yīng)用組件的增長(zhǎng)而增加;ConfigMaps、secrets 等、動(dòng)態(tài)自動(dòng)縮放(集群和應(yīng)用程序)以及 polyglot 持久性(單個(gè)云原生應(yīng)用使用的多個(gè)數(shù)據(jù)庫)都是解決這一需求的可擴(kuò)展解決方案的關(guān)鍵組成部分?？紤]到傳統(tǒng)的、單一的基礎(chǔ)設(shè)施和云原生環(huán)境之間的主要差異，將確保備份得到足夠的強(qiáng)化，以對(duì)沖勒索軟件等緊迫威脅。

3、確保恢復(fù)工作無懈可擊--最后一道防線

盡管有災(zāi)難計(jì)劃，但勒索軟件攻擊有時(shí)確實(shí)會(huì)成功。作為組織的最后一道防線，恢復(fù)能力應(yīng)該到位。勒索軟件攻擊不是一刀切的，攻擊者會(huì)努力尋找合適的目標(biāo)。就 Kubernetes 而言，對(duì)集群的攻擊可能源于一些"簡(jiǎn)單"的東西，如一個(gè)被忽視的、未經(jīng)認(rèn)證的端點(diǎn)或一個(gè)未修補(bǔ)的漏洞。在攻擊成功的情況下，通過細(xì)粒度的恢復(fù)來快速恢復(fù)，對(duì)于保護(hù)敏感數(shù)據(jù)不被利用和快速恢復(fù)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要。

企業(yè) IT 團(tuán)隊(duì)使用 Kubernetes 等平臺(tái)在不同地點(diǎn)運(yùn)行和維護(hù)數(shù)以千計(jì)的應(yīng)用程序，實(shí)現(xiàn)自動(dòng)化--手動(dòng)監(jiān)督所有這些應(yīng)用程序是一項(xiàng)幾乎超出人類能力的任務(wù)?；謴?fù)的解決方案也應(yīng)促進(jìn)自動(dòng)化，并像云原生安全堆棧的其他部分一樣，無縫集成到現(xiàn)有的工作流程中。

現(xiàn)如今，隨著勒索軟件的威脅越來越大，攻擊也越來越復(fù)雜，實(shí)施正確的程序來預(yù)防和恢復(fù)攻擊是至關(guān)重要的。Kubernetes 是現(xiàn)代計(jì)算的統(tǒng)一結(jié)構(gòu)，使用它來減輕當(dāng)今風(fēng)險(xiǎn)環(huán)境中最緊迫的數(shù)據(jù)威脅是目前最好的防御措施之一。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：保護(hù) Kubernetes 數(shù)據(jù)免遭勒索軟件侵害的三種方法

本文地址：https://www.oschina.net/news/152308/kubernetes-data-ransomware-three-ways