Kubernetes (K8s) 成為世界領(lǐng)先的容器編排平臺是有原因的，當(dāng)今有74% 的 IT 公司將其用于生產(chǎn)中的容器化工作負(fù)載。它通常是大規(guī)模處理容器配置、部署和管理的最簡單方法。

但是，盡管 Kubernetes 使容器的使用變得更容易，但在安全性方面也增加了復(fù)雜性。

Kubernetes 的默認(rèn)配置并不總是為所有部署的工作負(fù)載和微服務(wù)提供最佳安全性。此外，如今您不僅要負(fù)責(zé)保護(hù)您的環(huán)境免受惡意網(wǎng)絡(luò)攻擊，還要負(fù)責(zé)滿足各種合規(guī)性要求。

合規(guī)性已成為確保業(yè)務(wù)連續(xù)性、防止聲譽受損和確定每個應(yīng)用程序的風(fēng)險級別的關(guān)鍵。合規(guī)性框架旨在通過輕松監(jiān)控控制、團(tuán)隊級別的問責(zé)制和漏洞評估來解決安全和隱私問題——所有這些都在 K8s 環(huán)境中提出了獨特的挑戰(zhàn)。

為了完全保護(hù) Kubernetes，需要多管齊下的方法：干凈的代碼、完全的可觀察性、防止與不受信任的服務(wù)交換信息以及數(shù)字簽名。還必須考慮網(wǎng)絡(luò)、供應(yīng)鏈和 CI/CD 管道安全、資源保護(hù)、架構(gòu)最佳實踐、機密管理和保護(hù)、漏洞掃描和容器運行時保護(hù)。

合規(guī)框架可以幫助您系統(tǒng)地管理所有這些復(fù)雜性。讓我們來看看五個主要框架以及它們?nèi)绾螏椭钠髽I(yè)更安全地使用Kubernetes。

一、互聯(lián)網(wǎng)安全中心 (CIS) Kubernetes 基準(zhǔn)

互聯(lián)網(wǎng)安全中心 (CIS) 是一家歷史悠久的全球安全組織，已將其 Kubernetes 基準(zhǔn)創(chuàng)建為“客觀的、共識驅(qū)動的安全指南”，為集群組件配置提供行業(yè)標(biāo)準(zhǔn)建議并強化 Kubernetes 安全態(tài)勢。

級別 1 建議實施起來相對簡單，同時提供主要好處，通常不會影響業(yè)務(wù)功能。級別 2 或“深度防御”建議適用于需要更全面戰(zhàn)略的關(guān)鍵任務(wù)環(huán)境。

CIS 還提供確保集群資源符合基準(zhǔn)并為不合規(guī)組件生成警報的工具。CIS 框架適用于所有 Kubernetes 發(fā)行版。

• 優(yōu)點：  嚴(yán)格且被廣泛接受的配置設(shè)置藍(lán)圖。
• 缺點：  并非所有建議都與所有組織相關(guān)，必須相應(yīng)地進(jìn)行評估。

二、Kubernetes 的 NIST 應(yīng)用容器安全

美國政府的國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)提供了專門的應(yīng)用程序容器安全指南，作為其自愿框架的一部分。該指南重點介紹了 Kubernetes 環(huán)境的安全挑戰(zhàn)——包括鏡像、注冊表、編排器、容器和主機操作系統(tǒng)——并提供了基于最佳實踐的對策。例如，NIST 建議利用 Kubernetes（或其他協(xié)調(diào)器）提供敏感信息本地管理的能力，在運行時安全地將此數(shù)據(jù)供應(yīng)到 Web 應(yīng)用程序容器中，同時確保只有 Web 應(yīng)用程序容器才能訪問此敏感數(shù)據(jù)，并且該數(shù)據(jù)不會持久化到磁盤。

• 優(yōu)點：  值得信賴的標(biāo)準(zhǔn)化風(fēng)險管理方法。
• 缺點：  要求可能不明確，需要專業(yè)知識才能正確實施。

三、NSA 和 CISA Kubernetes 加固指南

美國國家安全局 (NSA) 和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 最近發(fā)布了他們的 Kubernetes 強化指南，描述并詳細(xì)說明了對 Kubernetes 集群的特定威脅，并在五個關(guān)鍵領(lǐng)域提供了緩解指南：

• Kubernetes    pod 安全性
• 網(wǎng)絡(luò)分離和加固
• 認(rèn)證和授權(quán)
• 日志審計
• 升級和應(yīng)用程序安全實踐

該報告強調(diào)了供應(yīng)鏈風(fēng)險中的危害，來自惡意行為者和基礎(chǔ)設(shè)施級別的內(nèi)部威脅，識別常見漏洞并推薦最佳實踐以避免錯誤配置。

• 優(yōu)點： 非常詳細(xì)、實用、實用、特定于 Kubernetes 的建議。
• 缺點：  不包括對容器生命周期安全管理的建議。?

四、Kubernetes 的 MITRE ATT&CK? 矩陣

Kubernetes 的威脅矩陣是從廣受認(rèn)可的 MITRE ATT&CK（對抗性策略、技術(shù)和常識）矩陣發(fā)展而來的，它基于當(dāng)今領(lǐng)先的網(wǎng)絡(luò)威脅和黑客技術(shù)采用了不同的方法。該矩陣用于在對手的攻擊生命周期內(nèi)和常見目標(biāo)平臺的威脅建模，提供入侵指標(biāo)和攻擊指標(biāo)。對抗性方法允許所有安全和滲透團(tuán)隊制作強大的威脅建模和更全面的攻擊響應(yīng)。

• 優(yōu)點：廣泛的、最新的對手戰(zhàn)術(shù)數(shù)據(jù)庫。
• 缺點：實施復(fù)雜、昂貴的框架，指導(dǎo)不明確，而不是提供精確的緩解步驟。?

五、Kubernetes 的 PCI DSS 合規(guī)性

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 是存儲、處理或傳輸支付卡數(shù)據(jù)的每個組織所需的一組強制性技術(shù)和操作要求。其核心原則是對持卡人數(shù)據(jù)的存儲和處理環(huán)境進(jìn)行細(xì)分。在 Kubernetes 中，這是使用邏輯、網(wǎng)絡(luò)和服務(wù)級別分段來完成的。雖然核心 PCI DSS 標(biāo)準(zhǔn)中沒有直接涉及容器和微服務(wù)，但云計算指南補充提供了容器編排指南。在Kubernetes中，開源封裝的某些屬性、容器壽命、擴(kuò)展性和連接性都使PCI DSS遵從性變得復(fù)雜。此外，在處理事務(wù)時，容器與平臺上的其他幾個組件通信。

例如，如果您有一個或多個容器在一個或多個專用Kubernetes服務(wù)器中運行，則您負(fù)責(zé)確保范圍、分段和驗證以及客戶數(shù)據(jù)之間的隔離滿足PCI DSS要求。

• 優(yōu)點：對于處理支付卡數(shù)據(jù)的公司是強制性的；建立消費者信心。
• 缺點：指南不明確且與技術(shù)無關(guān)，因此實施需要專業(yè)知識。

概括：

Kubernetes 帶來了巨大的好處，例如速度和敏捷性。遵守此處探討的框架有助于最大程度地減少任何伴隨風(fēng)險。指導(dǎo)您的團(tuán)隊采用行業(yè)最佳實踐至關(guān)重要，采用一個或多個這些框架通常是標(biāo)準(zhǔn)化漏洞評估和持續(xù)安全的最佳方式。

雖然合規(guī)性可能需要一些前期工作，但彈性和長期業(yè)務(wù)連續(xù)性方面的回報將是值得的。在許多情況下，組織也會發(fā)現(xiàn)一些附加好處，例如優(yōu)化、消除低效流程和服務(wù)。從長遠(yuǎn)來看，這可能會節(jié)省云計算并減輕團(tuán)隊的管理負(fù)擔(dān)，同時全面保護(hù) Kubernetes 環(huán)境并確保實現(xiàn)最佳實踐合規(guī)性。

*原文：https://dzone.com/articles/the-shifting-cloud-native-landscape-understanding