本文是《如何抵御勒索軟件攻擊》系列文章，如需閱讀本系列的其他文章，請(qǐng)?jiān)L問(wèn)：??

??如何抵御勒索軟件攻擊：簡(jiǎn)介???

??如何抵御勒索軟件攻擊：傳統(tǒng) IT 安全???

如何讓 Kubernetes 環(huán)境免受勒索軟件攻擊？?

隨著容器使用率的增長(zhǎng)，容器化軟件逐漸成為了勒索軟件攻擊的目標(biāo)，而 Kubernetes 環(huán)境本身的動(dòng)態(tài)特性也帶來(lái)了獨(dú)特的挑戰(zhàn)。勒索軟件的傳播速度可能非?？欤赡軙?huì)感染鏡像倉(cāng)庫(kù)或軟件供應(yīng)鏈的其他部分，導(dǎo)致 Kubernetes 集群中的所有 Pod 遭到破壞。攻擊者還可能控制 Kubernetes 集群，使攻擊難以停止。?

正如本系列的第一篇文章所述，攻擊可能通過(guò)應(yīng)用程序漏洞、Kubernetes 集群被盜的憑證、軟件供應(yīng)鏈中植入的惡意軟件等發(fā)生。要讓 Kubernetes 環(huán)境免受攻擊，采取預(yù)防措施非常重要。某些攻擊只能通過(guò)使用特定的安全軟件和預(yù)定義流程解決。?

要防止通過(guò)應(yīng)用程序漏洞進(jìn)行的攻擊，我們可以使用一些策略：?

1. 讓軟件保持更新，使用已修復(fù)錯(cuò)誤的最新版本。要確保沒(méi)有在集群上部署易受攻擊的軟件，你可以使用 SUSE NeuVector 來(lái)實(shí)現(xiàn)準(zhǔn)入控制規(guī)則，它擴(kuò)展了 Kubernetes 的功能，允許你定義規(guī)則（例如，防止將有漏洞或來(lái)自不受信任的鏡像倉(cāng)庫(kù)的鏡像部署到集群中）。?
2. 在攻擊抵達(dá)應(yīng)用程序之前，在網(wǎng)絡(luò)級(jí)別主動(dòng)阻止已知攻擊。NueVector 特別適合執(zhí)行此任務(wù)，因?yàn)樗粌H關(guān)注其他安全解決方案關(guān)注的第 3 和第 4 網(wǎng)絡(luò)層協(xié)議，也關(guān)注包含應(yīng)用程序協(xié)議的第 7 網(wǎng)絡(luò)層。換言之，它可以使用深度包檢測(cè) (DPI) 技術(shù)識(shí)別通過(guò)應(yīng)用程序?qū)訑y帶的攻擊，并且在惡意網(wǎng)絡(luò)數(shù)據(jù)包抵達(dá)應(yīng)用程序之前阻止它們。?
3. 限制應(yīng)用程序權(quán)限。你可以通過(guò) Kubernetes 安全機(jī)制（例如 Seccomp、AppArmor 和 SELinux）進(jìn)一步防止勒索軟件攻擊。正如本系列前文所述，SELinux 和 AppArmor 可以有效防止應(yīng)用程序訪問(wèn)某些文件或運(yùn)行某些進(jìn)程。它們只在啟用了這些功能的 Linux 發(fā)行版上運(yùn)行的 Kubernetes 節(jié)點(diǎn)中可用，例如 SLES和 SLEmicro。?

為什么使用零信任策略來(lái)阻止惡意軟件的傳播？?

這些措施可能都無(wú)法達(dá)到要求，尤其是攻擊者使用零日攻擊來(lái)獲取訪問(wèn)權(quán)限的情況。?

要防止零日攻擊，我們需要實(shí)施基于行為的零信任策略，該策略可以觀察并阻止在網(wǎng)絡(luò)或系統(tǒng)層上試圖偏離預(yù)期的應(yīng)用程序行為。換言之，即使攻擊者獲得了應(yīng)用程序的控制權(quán)，也無(wú)法訪問(wèn)集群中的其他應(yīng)用程序。通常情況下，大多數(shù)后端應(yīng)用程序不會(huì)公開(kāi)，安全保護(hù)比較弱，有些應(yīng)用程序還具有比較高的系統(tǒng)權(quán)限。因此，如果能控制這些應(yīng)用程序的網(wǎng)絡(luò)或數(shù)據(jù)訪問(wèn)，攻擊者就有機(jī)會(huì)進(jìn)一步進(jìn)行傳播。?

在這種情況下，我們可以使用 SUSE NeuVector 的零信任安全策略，因?yàn)槲覀儾粌H僅要查看已知的攻擊，還需要查看應(yīng)用程序的行為。為此，我們需要定義一個(gè)安全策略，聽(tīng)起來(lái)可能很復(fù)雜，但是我們可以借助 NeuVector 行為學(xué)習(xí)功能，輕松為每個(gè)正在運(yùn)行的應(yīng)用程序創(chuàng)建策略。?

我們不僅可以使用 SUSE NeuVector 來(lái)實(shí)施系統(tǒng)和網(wǎng)絡(luò)級(jí)別的零信任策略，還可以查看每個(gè) Pod 通過(guò) DPI 技術(shù)建立的連接，可視化和檢測(cè) Kubernetes 環(huán)境中的可疑活動(dòng)。?

在云原生環(huán)境中擁有安全軟件供應(yīng)鏈的重要性?

軟件供應(yīng)鏈?zhǔn)窃圃h(huán)境的重要組成部分。這是一個(gè)端到端的過(guò)程，可以確保云原生環(huán)境中使用的所有應(yīng)用程序和組件都是安全的，從運(yùn)行 Kubernetes 的硬件和操作系統(tǒng)，到最終應(yīng)用程序上使用的所有庫(kù)。?

為了確保安全，我們需要驗(yàn)證軟件的真實(shí)性，例如使用受監(jiān)管的第三方簽名，定期修補(bǔ)漏洞，使用安全交付方法，以及控制修改代碼的人員和時(shí)間，確保所有更改都要經(jīng)過(guò)了審核。?

這就是 SLSA4 和 Common Criteria EAL4+ 等認(rèn)證體現(xiàn)價(jià)值的地方，它們確保了用于產(chǎn)品開(kāi)發(fā)和維護(hù)的 SUSE 流程通過(guò)了這些認(rèn)證的嚴(yán)格安全要求。?

但是，我們不能總是使用經(jīng)過(guò)認(rèn)證的軟件。因此，我們需要使用 SUSE NeuVector 等安全平臺(tái)或 Rancher 等 Kubernetes 集群管理平臺(tái)來(lái)掃描鏡像倉(cāng)庫(kù)中的鏡像漏洞、驗(yàn)證是否符合安全要求、在基礎(chǔ)設(shè)施上運(yùn)行安全 Benchmark 等。更重要的是，這些檢查可以重復(fù)執(zhí)行，而且是自動(dòng)化的，不是一次性的。?

為什么必須在 Kubernetes 環(huán)境中實(shí)現(xiàn)安全自動(dòng)化？?

對(duì)于確保安全、合規(guī)和持續(xù)更新的環(huán)境，以及通過(guò)補(bǔ)丁和配置供應(yīng)鏈中的軟件資源來(lái)減少攻擊面來(lái)說(shuō)，Kubernetes 環(huán)境中的安全自動(dòng)化至關(guān)重要。?

由于云原生環(huán)境中的安全性不是靜態(tài)的，因此每天都會(huì)出現(xiàn)新的漏洞和補(bǔ)丁，攻擊者會(huì)自動(dòng)進(jìn)行攻擊，快速發(fā)現(xiàn)并攻擊受害者。?

自動(dòng)化還帶來(lái)了其他好處，例如避免手動(dòng)錯(cuò)誤，以及確保在整個(gè)環(huán)境中始終執(zhí)行安全策略。?

此外，它還可以大幅度縮短將受攻擊系統(tǒng)恢復(fù)到原始狀態(tài)所需的時(shí)間。但是需要特別注意的是，在恢復(fù)系統(tǒng)之前必須先打補(bǔ)丁。為此，我們還需要簡(jiǎn)化和自動(dòng)化更新過(guò)程。?

為了實(shí)現(xiàn)和簡(jiǎn)化該操作，SUSE NeuVector 等安全平臺(tái)和 Rancher 等 Kubernetes 管理工具在設(shè)計(jì)時(shí)就考慮到了自動(dòng)化。借助 Rancher，我們可以使用 Fleet 或其他外部 CI/CD 系統(tǒng)跨集群自動(dòng)部署和升級(jí)工作負(fù)載，簡(jiǎn)化 Infrastructure-as-Code 的使用。?

借助 SUSE NeuVector API 和 CRD，你可以像加載 Kubernetes 中的其他資源一樣加載安全策略，讓使用現(xiàn)有 CI/CD 平臺(tái)實(shí)現(xiàn) Security-as-Code 變得簡(jiǎn)單。?

擁有多個(gè)集群時(shí)，如何擴(kuò)展這些措施？?

我們需要使用小而可靠的軟件，因?yàn)楦哔Y源消耗將影響應(yīng)用程序性能，導(dǎo)致其無(wú)法滿足不斷增長(zhǎng)的需求，這也是生產(chǎn)就緒軟件需要關(guān)注的重點(diǎn)之一。?

我們可以使用 Rancher 的安全功能來(lái)確保所有 Kubernetes 集群都得到正確的配置和保護(hù)。Rancher 可以幫助我們控制訪問(wèn)、實(shí)施安全策略和掃描漏洞。?

有了 SUSE NeuVector，我們還可以通過(guò)將聯(lián)合規(guī)則推送到各個(gè)集群，并將鏡像倉(cāng)庫(kù)掃描結(jié)果同步到多個(gè)集群，來(lái)管理多集群和多云部署的安全性。?

即使有多個(gè)集群，我們也可以使用該方法擴(kuò)展安全措施，NeuVector 架構(gòu)可以輕松地隨應(yīng)用程序工作負(fù)載擴(kuò)展保護(hù)。?

總結(jié)?

我們可以看到，擁有安全的軟件供應(yīng)鏈并在系統(tǒng)和網(wǎng)絡(luò)層實(shí)施基于行為的零信任安全策略可以幫助用戶抵御惡意攻擊，例如勒索軟件和零日攻擊。?

SUSE NeuVector 作為業(yè)界首個(gè)端到端的開(kāi)源容器安全平臺(tái)，能夠?yàn)槿萜骰ぷ髫?fù)載提供企業(yè)級(jí)零信任安全。?

關(guān)于?

SUSE 是全球范圍內(nèi)創(chuàng)新且可靠的企業(yè)級(jí)開(kāi)源解決方案領(lǐng)導(dǎo)者，財(cái)富 500 強(qiáng)中有 60% 以上的企業(yè)依靠 SUSE 為其關(guān)鍵任務(wù)的工作負(fù)載賦能。SUSE 專注于企業(yè)級(jí) Linux、企業(yè)容器管理和邊緣解決方案，通過(guò)與合作伙伴和社區(qū)合作，幫助客戶隨時(shí)隨地在任意場(chǎng)景進(jìn)行創(chuàng)新——無(wú)論是在數(shù)據(jù)中心、云端還是邊緣環(huán)境。?

SUSE 讓“開(kāi)源”重新“開(kāi)放”，使客戶能夠靈活地應(yīng)對(duì)當(dāng)今的創(chuàng)新挑戰(zhàn)，并能夠自由地在未來(lái)發(fā)展其 IT 戰(zhàn)略和解決方案。SUSE 在全球擁有2000 余名員工，2021 年在法蘭克福證券交易所的監(jiān)管市場(chǎng)（Prime Standard）上市。?