當今，企業(yè)在加速應(yīng)用現(xiàn)代化的同時，往往將 Kubernetes 安全置于次要地位。盡管這樣的風險越來越高，但我們?nèi)孕柚斏鲗Υ切┠軌蚓徑馊萜骰h(huán)境威脅的安全策略。

一方面，安全措施必須足夠精準，才能滿足嚴格的合規(guī)要求，并通過審計這一關(guān)。組織必須遵守的各種法規(guī)包括 SOC 2、PCI DSS、GPDR、HIPAA 等等。與此同時，無論采用哪種安全流程，都要確保 DevOps 和開發(fā)人員的生產(chǎn)力不會受到影響。這是一種微妙的平衡法，容錯率極低。

為了確保在容器化環(huán)境中持續(xù)合規(guī)，而不影響生產(chǎn)力，請遵循以下 6 個實踐。

1. 實現(xiàn)自動化

市面上有許多出色的、完全開源的工具可供選擇，合適的工具能夠幫助企業(yè)實現(xiàn)實時威脅響應(yīng)和持續(xù)在線監(jiān)控，從而確保持續(xù)合規(guī)。例如，企業(yè)應(yīng)將自動化漏洞掃描和安全策略即代碼(https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent)集成到流水線中。通過自動化 Kubernetes 審計日志分析工具處理日志和事件?；跈C器學習的 SIEM 技術(shù)能夠快速自動識別攻擊模式。企業(yè)還應(yīng)利用 CIS 基準和自定義合規(guī)核查來持續(xù)檢查 Kubernetes 配置。

2. 對 Kubernetes 本身進行保護

將 Kubernetes 本身視為攻擊面至關(guān)重要，因為攻擊者一定會這樣做。威脅越來越復雜，企業(yè)需要主動保護容器環(huán)境背后的全棧，以實現(xiàn)持續(xù)合規(guī)。保護措施包括：啟用自動監(jiān)控、強化反攻擊手段、執(zhí)行配置審計以及準備自動化緩解。除了 Kubernetes(https://www.darkreading.com/cloud/firms-struggle-to-secure-multicloud-misconfigurations)，企業(yè)對任何可能受到攻擊的服務(wù)網(wǎng)格、托管 VM、插件或其他目標也應(yīng)采取相同措施。

3. 發(fā)現(xiàn)攻擊就能防止攻擊

攻擊殺傷的鏈條通常從啟動無法識別的容器網(wǎng)絡(luò)連接或進程開始，通過寫入或更改現(xiàn)有文件，或者利用未受到保護的入口點，來提升其訪問級別。然后，此類惡意手段會利用網(wǎng)絡(luò)流量，將捕獲到的數(shù)據(jù)發(fā)送到外部 IP 地址，造成數(shù)據(jù)泄露。殺傷鏈可能會以類似的方式將 Kubernetes API 服務(wù)作為中間人攻擊的目標，通常會發(fā)起零日攻擊、內(nèi)部攻擊和加密貨幣挖礦攻擊。利用 Apache Log4j 進行的攻擊也日益增多。

數(shù)據(jù)丟失防護 (DLP) 和 Web 應(yīng)用程序防火墻 (WAF) 相結(jié)合的策略能夠提供檢測活躍殺傷鏈所需的可見性以及自動響應(yīng)能力，在可疑的進程和流量造成破壞之前將其終止。事實上，目前許多法規(guī)的合規(guī)框架都專門要求組織具備 DLP 和 WAF 能力，以保護其容器和 Kubernetes 環(huán)境，這些框架包括 PCI DSS、SOC 2 和 GDPR。(HIPAA 也強烈建議采用 DLP。)

4. 專注于零信任

通過實施零信任模型(https://www.darkreading.com/edge/get-started-on-continuous-compliance-ahead-of-pci-dss-v4-0)，企業(yè)不再被動地處理在日志分析或基于簽名的檢測中發(fā)現(xiàn)的威脅。零信任策略只允許經(jīng)過批準的進程和流量在企業(yè)環(huán)境中活動，從而阻止所有攻擊。整個云原生技術(shù)棧，以及 RBAC 等訪問控制，都必須采取這些零信任防護措施。這樣一來，企業(yè)就確保能夠?qū)崿F(xiàn)持續(xù)合規(guī)。

5. 利用Kubernetes 內(nèi)置安全措施

Kubernetes 內(nèi)置的安全功能包括日志審計、RBAC 以及由 Kubernetes API 服務(wù)器(https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/)集中進行的系統(tǒng)日志收集。利用這些功能來收集并分析所有活動日志，從而識別攻擊或錯誤配置。然后，通過安全補丁或者基于策略的新防護措施，來解決各種事件或不合規(guī)的運行時活動。

在大多數(shù)情況下，企業(yè)會希望進一步通過能夠?qū)崿F(xiàn)容器應(yīng)用程序安全和持續(xù)合規(guī)審計的工具來支持現(xiàn)有的 Kubernetes 安全措施。企業(yè)應(yīng)使用內(nèi)置的 Kubernetes 準入控制器(https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/)，緊密協(xié)調(diào) Kubernetes 與外部注冊請求和資源請求。這種方法可以更有效地防止應(yīng)用程序部署中的漏洞和未經(jīng)授權(quán)的行為。

6. 驗證云主機的安全性

托管 Kubernetes 的云平臺能夠把控自己的系統(tǒng)，必須確保其持續(xù)合規(guī)。然而，如果不檢查這些云托管實踐是否真正得到了充分保護，是否履行了企業(yè)自身的合規(guī)責任，那風險就太高了。事實上，許多云提供商所提供的責任共擔模式(https://www.darkreading.com/cloud/companies-need-to-keep-watch-on-cloud-data)會將保護應(yīng)用程序訪問權(quán)限、網(wǎng)絡(luò)行為和云上其他資產(chǎn)的重任直接留給客戶。

實時環(huán)境中的持續(xù)合規(guī)

Kubernetes 和容器化環(huán)境極其活躍，容器創(chuàng)建和刪除的速度之快，讓手動安全檢查無法對其進行保護。此外，許多合規(guī)法規(guī)要求的傳統(tǒng)安全技術(shù)，例如，網(wǎng)絡(luò)分段和防火墻，在容器網(wǎng)絡(luò)中不起作用。

在構(gòu)建、遷移和在生產(chǎn)環(huán)境中運行應(yīng)用程序時，現(xiàn)代的持續(xù)開發(fā)流程會定期引入新的代碼和容器。因此，法規(guī)要求組織采用自動化實時安全防護和審計措施，以實現(xiàn)真正的持續(xù)合規(guī)。

原文鏈接：https://mp.weixin.qq.com/s/MQh16-PQYsjaGCjwyxIk_A