確保 Kubernetes 安全合規的 6 個最佳實踐
當今,企業在加速應用現代化的同時,往往將 Kubernetes 安全置於次要地位。儘管這樣的風險越來越高,但我們仍需謹慎對待那些能夠緩解容器化環境威脅的安全策略。
一方面,安全措施必須足夠精準,才能滿足嚴格的合規要求,並透過審計這一關。組織必須遵守的各種法規包括 SOC 2、PCI DSS、GPDR、HIPAA 等等。與此同時,無論採用哪種安全流程,都要確保 DevOps 和開發人員的生產力不會受到影響。這是一種微妙的平衡法,容錯率極低。
為了確保在容器化環境中持續合規,而不影響生產力,請遵循以下 6 個實踐。
1. 實現自動化
市面上有許多出色的、完全開源的工具可供選擇,合適的工具能夠幫助企業實現實時威脅響應和持續線上監控,從而確保持續合規。例如,企業應將自動化漏洞掃描和安全策略即程式碼(https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent)整合到流水線中。透過自動化 Kubernetes 審計日誌分析工具處理日誌和事件。基於機器學習的 SIEM 技術能夠快速自動識別攻擊模式。企業還應利用 CIS 基準和自定義合規核查來持續檢查 Kubernetes 配置。
2. 對 Kubernetes 本身進行保護
將 Kubernetes 本身視為攻擊面至關重要,因為攻擊者一定會這樣做。威脅越來越複雜,企業需要主動保護容器環境背後的全棧,以實現持續合規。保護措施包括:啟用自動監控、強化反攻擊手段、執行配置審計以及準備自動化緩解。除了 Kubernetes(https://www.darkreading.com/cloud/firms-struggle-to-secure-multicloud-misconfigurations),企業對任何可能受到攻擊的服務網格、託管 VM、外掛或其他目標也應採取相同措施。
3. 發現攻擊就能防止攻擊
攻擊殺傷的鏈條通常從啟動無法識別的容器網路連線或程式開始,透過寫入或更改現有檔案,或者利用未受到保護的入口點,來提升其訪問級別。然後,此類惡意手段會利用網路流量,將捕獲到的資料傳送到外部 IP 地址,造成資料洩露。殺傷鏈可能會以類似的方式將 Kubernetes API 服務作為中間人攻擊的目標,通常會發起零日攻擊、內部攻擊和加密貨幣挖礦攻擊。利用 Apache Log4j 進行的攻擊也日益增多。
資料丟失防護 (DLP) 和 Web 應用程式防火牆 (WAF) 相結合的策略能夠提供檢測活躍殺傷鏈所需的可見性以及自動響應能力,在可疑的程式和流量造成破壞之前將其終止。事實上,目前許多法規的合規框架都專門要求組織具備 DLP 和 WAF 能力,以保護其容器和 Kubernetes 環境,這些框架包括 PCI DSS、SOC 2 和 GDPR。(HIPAA 也強烈建議採用 DLP。)
4. 專注於零信任
透過實施零信任模型(),企業不再被動地處理在日誌分析或基於簽名的檢測中發現的威脅。零信任策略只允許經過批准的程式和流量在企業環境中活動,從而阻止所有攻擊。整個雲原生技術棧,以及 RBAC 等訪問控制,都必須採取這些零信任防護措施。這樣一來,企業就確保能夠實現持續合規。
5. 利用Kubernetes 內建安全措施
Kubernetes 內建的安全功能包括日誌審計、RBAC 以及由 Kubernetes API 伺服器()集中進行的系統日誌收集。利用這些功能來收集並分析所有活動日誌,從而識別攻擊或錯誤配置。然後,透過安全補丁或者基於策略的新防護措施,來解決各種事件或不合規的執行時活動。
在大多數情況下,企業會希望進一步透過能夠實現容器應用程式安全和持續合規審計的工具來支援現有的 Kubernetes 安全措施。企業應使用內建的 Kubernetes 准入控制器(),緊密協調 Kubernetes 與外部註冊請求和資源請求。這種方法可以更有效地防止應用程式部署中的漏洞和未經授權的行為。
6. 驗證雲主機的安全性
託管 Kubernetes 的雲平臺能夠把控自己的系統,必須確保其持續合規。然而,如果不檢查這些雲託管實踐是否真正得到了充分保護,是否履行了企業自身的合規責任,那風險就太高了。事實上,許多雲提供商所提供的責任共擔模式()會將保護應用程式訪問許可權、網路行為和雲上其他資產的重任直接留給客戶。
實時環境中的持續合規
Kubernetes 和容器化環境極其活躍,容器建立和刪除的速度之快,讓手動安全檢查無法對其進行保護。此外,許多合規法規要求的傳統安全技術,例如,網路分段和防火牆,在容器網路中不起作用。
在構建、遷移和在生產環境中執行應用程式時,現代的持續開發流程會定期引入新的程式碼和容器。因此,法規要求組織採用自動化實時安全防護和審計措施,以實現真正的持續合規。
來自 “ Rancher ”, 原文作者:Glen Kosaka;原文連結:https://mp.weixin.qq.com/s/MQh16-PQYsjaGCjwyxIk_A,如有侵權,請聯絡管理員刪除。
相關文章
- Kubernetes日誌的6個最佳實踐
- Kubernetes 最佳安全實踐指南
- 資料安全治理及審計合規的最佳實踐XX
- 應用部署初探:6個保障安全的最佳實踐
- 保護你微服務架構安全的三個最佳實踐微服務架構
- 7個API安全最佳實踐API
- 20 個 OpenSSH 最佳安全實踐
- Kubernetes(k8s)部署安全最佳實踐K8S
- Kubernetes Deployment 最佳實踐
- 最佳實踐 | 用騰訊雲AI意願核身為電話合規保駕護航AI
- 四個保護資料安全的技術實踐
- MongoDB最佳安全實踐MongoDB
- Dockerfile 安全最佳實踐Docker
- Kubernetes 微服務最佳實踐微服務
- J2EE架構的6個最佳實踐架構
- 2019網路安全合規和資料保護實踐國際峰會
- 智慧合約最佳實踐 之 Solidity 編碼規範Solid
- CSS規範 - 最佳實踐CSS
- Dataguise:確保Hadoop資料安全的十大最佳方法GUIHadoop
- 實現容器安全管理的最佳實踐
- 等保2.0時代,資料安全如何合規
- 《個人資訊保護法》正式實施,企業如何保證資料安全合規?
- Kubernetes YAML最佳實踐和策略YAML
- HTTPS安全最佳實踐HTTP
- HTTPS最佳安全實踐HTTP
- Kubernetes 部署 Laravel 應用的最佳實踐Laravel
- RxJava 與 Retrofit 結合的最佳實踐RxJava
- 全國首個《等保2.0體系網際網路合規實踐白皮書》來了
- 確保web安全的HTTPSWebHTTP
- 談談保護敏感資料的最佳實踐
- 資料庫設計中的6個最佳實踐步驟資料庫
- 高效能無伺服器工程的6個最佳實踐伺服器
- 京東雲Kubernetes叢集最佳實踐
- WebGPU 的幾個最佳實踐WebGPU
- 十個JDBC的最佳實踐JDBC
- 驗證Kubernetes YAML的最佳實踐和策略YAML
- ES6 實踐規範
- 華為等保合規解決方案流暢明確,過等保效率高!