雲原生愛好者週刊:美國國家安全域性釋出網路安全指南

KubeSphere發表於2022-03-12

雲原生一週動態要聞:

  • Knative 成為 CNCF 孵化專案
  • Podman 釋出 v4.0.0
  • Aeraki Mesh 加入 CNCF 雲原生全景圖
  • Argo 釋出 fuzzing 報告
  • Platform9 釋出雲原生企業趨勢報告
  • 關鍵的 GitLab 漏洞可能允許攻擊者竊取執行者的註冊令牌
  • 開源專案推薦
  • 文章推薦

美國國家安全域性(NSA)又來啦?,上次釋出的是《Kubernetes 安全加固指南》,這次釋出的是《網路基礎設施安全指南》,涵蓋了網路設計、裝置密碼管理、遠端登入管理、安全更新、金鑰交換演算法,以及 NTP、SSH、HTTP和 SNMP 等重要協議,為所有組織提供了有關如何保護其 IT 網路基礎設施免受網路攻擊的最新建議。

關注公眾號:KubeSphere雲原生

後臺回覆暗號 網路 即可獲取該指南!

雲原生動態

Knative 成為 CNCF 孵化專案

日前,CNCF 技術監督委員會(TOC)已投票決定接受 Knative 作為 CNCF 的孵化專案。

Knative 是一個基於 Kubernetes 的開源平臺,用於構建、部署和管理無伺服器和事件驅動的應用程式。它幫助開發團隊以一種需要較少技術知識和時間的方式管理、監視和操作 Kubernetes。

Knative 由谷歌於 2018 年建立,隨後與 IBM、Red Hat、VMWare 和 SAP 密切合作開發。該專案自成立以來,得益於社群中 1800 多名不同個人的合作和貢獻。

該專案在 2021 年 11 月達到了 1.0 版本,這意味著它的所有倉庫都由社群指定為穩定且適合商業使用。它目前的版本是 1.2,每六週釋出一次。

Podman 釋出 v4.0.0

日前,Podman v4.0.0 釋出。此版本具有 60 多個新功能,重點是徹底重寫網路堆疊,以提高功能和效能,但也有許多其他變化,包括改進 Podman 對 Mac 和 Windows 的支援,改進 Pods,超過 50 個錯誤的修復,以及更多更多的功能。

以下是該版本的主要變化:

  • 除了現有的 CNI 堆疊之外,Podman 現在還支援基於 Netavak 和 Aardvark 的新網路堆疊。新的堆疊改進了對多個網路中容器的支援、改進的 IPv6 支援和改進的效能。
  • 在 Windows 和 OS X 上支援 Podman 也是重中之重。其中最主要的是支援在主機系統上安裝 Podman API 套接字,允許在主機系統上使用 Docker Compose 等工具,而不是在 podman 機器虛擬機器內。另外,podman 機器現在可以在 Windows 上使用 WSL2 作為後端,大大改善了 Podman 對 Windows 的支援。
  • Podman Pods 已經新增了許多新功能,以允許在 pod 中的容器之間共享資源。

以上變化只是冰山一角——這個版本還有更多內容,更多資訊請見發行說明

Aeraki Mesh 加入 CNCF 雲原生全景圖

近日,Aeraki Mesh 正式進入 CNCF 雲原生全景圖,位於 Service Mesh 類別下。雲原生全景圖(CNCF Landscape),旨在幫助企業和開發人員快速瞭解雲原生體系的全貌,幫助使用者選擇雲原生實踐中的恰當的軟體和工具,因此受到廣大開發者和使用者的關注和重視。

Aeraki Mesh 是 Service Mesh 領域的一個開源專案,解決目前的服務網格專案只處理了 HTTP/gRPC 協議,不支援其他開源及私有協議的痛點。

Aeraki Mesh 可以幫助你在服務網格中管理任何七層協議。目前已經支援了 Dubbo、Thrit、Redis、Kafka、ZooKeeper 等開源協議。你還可以使用 Aeraki Mesh 提供的 MetaProtocol 協議擴充套件框架來管理私有協議的七層流量。

Argo 釋出 fuzzing 報告

安全是 Argo 專案的重中之重。為了提高安全性,來自 Akuity、Red Hat 和 Intuit 的 Argo 維護人員最近與 Ada Logics 合作,參與了一個由 CNCF(雲原生計算基金會)委託的專案,為 Argo 專案建立 Fuzzing(模糊測試)。

Fuzzing 是一種通用技術,用於自動識別可靠性和安全問題。它通常被安全研究人員用來發現系統中的漏洞,該技術已成功應用於各種 CNCF 專案,如 Kubernetes、Envoy、Helm、Linkerd2-proxy 和 Fluent-bit。fuzzing 的一般方法是使用遺傳演算法(genetic algorithm)與複雜的程式分析和軟體儀器技術相結合,以生成在目標軟體中實現高水平程式碼覆蓋的輸入。在 Argo 的環境中,這樣做的目的是識別引發各種系統故障的輸入,例如崩潰、恐慌、記憶體溢位問題和掛起。

這個專案建立了一個持續的 fuzzing 基礎設施,現在作為專案迴圈工作的一部分執行。共開發了 41 個 fuzzer,發現了 10 個缺陷。所有發現的 bug 都已修復(除了在專案結束時發現的兩個問題),並可在最新的專案補丁集中獲得。完整的細節可以在 Argo fuzzing 報告中獲得。

Platform9 釋出雲原生企業趨勢報告

Platform9 在 2021 年 12 月 15 日至 2022 年 1 月 8 日期間進行了一項調查,以瞭解企業如何採用雲原生技術,包括他們的投資和招聘計劃,預期的挑戰,雲鎖定的擔憂等。受訪者包括 526 名架構師、DevOps 和雲平臺工程師、經理和高管,涉及 85 個行業和 450 家獨特公司。

這份研究報告 "2022 年雲原生企業趨勢"詳細介紹了從調查和 1:1 訪談中收集到的幾個重要見解。一些關鍵的發現包括:

  • Kubernetes主導了容器管理。近 85% 的受訪者正在使用 Kubernetes 或計劃在未來 6 個月內部署它。
  • 雲原生招聘仍然是一個優先事項。DevOps、雲平臺工程、雲原生開發人員和安全是 2022 年的首要招聘投資。
  • 各地的高管都在尋找切實可行的解決方案,以減少對供應商的鎖定。雖然 61% 的受訪者對供應商鎖定有高度或中度擔憂,但 71% 的擁有大型部署的高階使用者甚至比早期使用者更擔心。

關鍵的 GitLab 漏洞可能允許攻擊者竊取執行者的註冊令牌

該漏洞影響從 12.10 到 14.6.4 的所有版本,從 14.7 到 14.7.3 的所有版本,以及從 14.8 到 14.8.1 的所有版本,在 GitLab 的安全公告中宣佈。

如果被利用,未經授權的使用者可以使用快速操作命令通過資訊洩露漏洞竊取註冊者的註冊令牌。

它的 CVSS 評分為 9.6,並已在最新版本中進行了修補:GitLab 社群版 (CE) 和企業版 (EE) 的 14.8.2、14.7.4 和 14.6.5。

開源專案推薦

TeslaMate

TeslaMate 是一個自託管的特斯拉日誌收集平臺,可以將車主的特斯拉行駛資料收集、儲存、展示,而且方便地支援 Docker 部署。資料儲存在 Postgres 中,監控皮膚通過 Grafana 來展示。

apko

apko 是一個新型映象構建工具,用來構建基於 Alpine 的 distroless 映象。它直接使用 Alpine 的包管理工具 apk 來構建映象,不需要使用 Dockerfile,只需要提供一個宣告式的配置清單。例如:

contents:
  repositories:
    - https://dl-cdn.alpinelinux.org/alpine/edge/main
  keyring:
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-4a6a0840.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5243ef4b.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-5261cecb.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-6165ee59.rsa.pub
    - /etc/apk/keys/alpine-devel@lists.alpinelinux.org-61666e3f.rsa.pub
  packages:
    - alpine-baselayout
    - nginx

entrypoint:
  type: service-bundle
  services:
    nginx: /usr/sbin/nginx -c /etc/nginx/nginx.conf -g "daemon off;"

local-disk-manager

local-disk-manager 旨在簡化管理節點上面的磁碟。它將磁碟抽象成一種可以被管理和監控的資源。它本身是一種 Daemonset 物件,叢集中每一個節點都會執行該服務,通過該服務檢測存在的磁碟並將其轉換成相應的資源 LocalDisk。

KoolKits

KoolKits 是一組用於 kubectl 除錯功能的映象,它可以被 kubectl debug 呼叫,作為 Pod 中的一個容器,與業務容器共享名稱空間。Koolkits 為常見的幾種語言定製了特定的除錯映象,例如,除錯 JVM 容器可以使用 JVM 專屬映象:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-jvm --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

除錯 Node.js 容器使用 Node.js 專屬映象:

$ kubectl debug -it <POD-NAME> --image=lightrun-platform/koolkits/koolkit-node --image-pull-policy=Never --target=<DEPLOYMENT-NAME>

Awesome Twitter Communities for Engineers

Twitter 去年下半年新增了 Community 版塊,類似於社群的概念,可以跟擁有共同興趣的人一起發推文。一旦加入一個社群,使用者就可以直接向其他成員而不僅僅是他們的關注者發推文。只有社群成員才能點贊或回覆其他成員傳送的推文。awesome-twitter-communities 收錄了工程師們建立的各類社群,有云原生主題、Rust 主題、Webassembly 主題等等,如果你是 Twitter 小白,不知道你感興趣的領域有哪些大佬,不防加入 Community 暗中觀察一下。

CodeFever

CodeFever 是完全免費開源的 Git 程式碼託管服務,支援一行命令安裝到自己伺服器,沒有任何倉庫數量、使用數量的限制。如果想搭建自己的 Git 倉庫,可以看看這個專案。

文章推薦

eBPF 大規模落地的挑戰

eBPF 改變了 Linux 世界的遊戲規則,讓應用可以安全地與核心進行互動,但是構建與各種 Linux 發行版相容的應用程式是仍然是一項巨大的挑戰。如果你的使用者擁有各種 Linux 發行版,不同的核心版本、核心配置以及某些發行版特定的配置,你該怎麼做才能確保你的基於 eBPF 的應用程式能在儘可能多的環境下工作?本文給出了這個問題的部分答案。

高危!!Kubernetes 新型容器逃逸漏洞預警

容器環境錯綜複雜,特別是像 Kubernetes 這樣的分散式排程平臺,每一個環節都有自己的生命週期和攻擊面,很容易暴露出安全風險,容器叢集管理員必須注意每一處細節的安全問題。總的來說,絕大多數情況下容器的安全性都取決於 Linux 核心的安全性,因此,我們需要時刻關注任何安全問題,並儘快實施對應的解決方案。

使用 KubeKey 快速離線部署 K8s 與 KubeSphere

KubeKey(以下簡稱 KK) 是一個用於部署 Kubernetes 叢集的開源輕量級工具。它提供了一種靈活、快速、便捷的方式來僅安裝 Kubernetes/K3s,或同時安裝 Kubernetes/K3s 和 KubeSphere,以及其他雲原生外掛。除此之外,它也是擴充套件和升級叢集的有效工具。本教程使用 KK 2.0.0 作為部署工具來實現 kubesphere 叢集在離線環境中的部署,幫助大家實現離線閃電交付的目的。

本文由部落格一文多發平臺 OpenWrite 釋出!

相關文章