Kubernetes 安全防護(hù)終極指南

終極指南Kubernetes如何保護(hù)Kubernetes借助容器和Kubernetes等工具，企業(yè)能夠在應(yīng)用程序部署的諸多方面實(shí)現(xiàn)自動(dòng)化，繼而獲得巨大的業(yè)務(wù)收益。但這些新的部署環(huán)境與傳統(tǒng)環(huán)境一樣，容易受到黑客和內(nèi)部攻擊者的攻中斷等形式的攻擊。更麻煩的是，公有云中的Kubernetes等新型工具和技術(shù)以及托管容器服務(wù)本身就將為攻擊企業(yè)的重要資產(chǎn)提供可乘之機(jī)。繼近期Kubernetes的中間人漏洞和Tesla漏洞事件之后，機(jī)針對(duì)容器技術(shù)發(fā)起攻擊，預(yù)計(jì)這類事件將在未來幾個(gè)月乃的嚴(yán)重漏洞都會(huì)在構(gòu)建階段、注冊(cè)表和生產(chǎn)過程中對(duì)容器鏡像工具來保護(hù)單片應(yīng)用程序，但容器可能使東西向流量或內(nèi)部流333.攻擊面擴(kuò)大。每個(gè)容器中都含有可能被利用的不同攻擊面和漏洞。此外，還必須將Kubernetes和Docker等編排工具引入的其他攻擊面考慮在內(nèi)。4.自動(dòng)化安全防護(hù)才能滿足發(fā)展需要。以往的安全防護(hù)模型和工具無法應(yīng)對(duì)不斷變化的容器環(huán)境?？紤]到Kubernetes自動(dòng)化的性質(zhì)，容器和Pod從出現(xiàn)到消失可能只有幾分鐘甚至幾秒的時(shí)間。可能包含新網(wǎng)絡(luò)連接的應(yīng)用程序行為必須即時(shí)納入強(qiáng)制安全策略中。我們需要通過新一代自動(dòng)化安全工具來保護(hù)容器安全，在流水線前期專用接口有限，默認(rèn)情況下容器比傳統(tǒng)應(yīng)用程序更安全，但這種觀點(diǎn)成立：網(wǎng)絡(luò)攻擊者和公共部門攻擊者使用舊有手段攻擊沒有漏洞且已鎖定所有代碼和基礎(chǔ)設(shè)施。但我們清楚，這在現(xiàn)實(shí)中是不可能的。而且即便如此，也仍擊進(jìn)行監(jiān)控。攻擊事件屢次發(fā)生，時(shí)間和經(jīng)驗(yàn)都表明，攻擊者的手段總是能夠?團(tuán)隊(duì)是否具備能在流水線前期甚至構(gòu)建階段消除重大漏洞(具有可用修補(bǔ)程序)的相?團(tuán)隊(duì)對(duì)正在部署的KubernetesPod是否具有可見性？例如，是否了解應(yīng)用程序Pod?團(tuán)隊(duì)能否確定每個(gè)Pod的行為正常與否？?當(dāng)內(nèi)部服務(wù)Pod或容器開始在內(nèi)部掃描端口或嘗試隨機(jī)連接外部網(wǎng)絡(luò)時(shí)，團(tuán)隊(duì)如何44d?團(tuán)隊(duì)能否像對(duì)于非容器化部署一樣全面查看和檢查網(wǎng)絡(luò)連接？例如7層網(wǎng)絡(luò)？?如果面臨潛在攻擊，團(tuán)隊(duì)能否監(jiān)控Pod或容器內(nèi)部的活動(dòng)情況？?團(tuán)隊(duì)是否曾通過檢查Kubernetes集群的訪問權(quán)限來確定潛在的內(nèi)部攻擊載體？?團(tuán)隊(duì)是否擁有鎖定Kubernetes服務(wù)、訪問控制(RBAC)和容器主機(jī)的檢查清單？?如果具備合規(guī)策略，如何在運(yùn)行時(shí)執(zhí)行以確保合規(guī)性？例如，確保內(nèi)部Pod通信加?在對(duì)應(yīng)用程序通信進(jìn)行故障排除或記錄取證數(shù)據(jù)時(shí)，如何定位相關(guān)Pod并抓取日志？這篇指南將重點(diǎn)圍繞自動(dòng)化運(yùn)行時(shí)安全防護(hù)，介紹如何實(shí)現(xiàn)Kubernetes和容器部署的安全。首首先必須要了解Knperuetes的運(yùn)行機(jī)制和55Kubernetes的運(yùn)行機(jī)制如果還不熟悉Kubernetes，可以先來了解下列主要概念和術(shù)語。Kubernetes是一種能夠自動(dòng)化部署、更新和監(jiān)控容器的編排工具。RedHatOpenShift、aaSGoogleCloud等所有主流容器管理和云平臺(tái)全部支持Kubernetes。下面是一些需要了解的Kubernetes?主節(jié)點(diǎn)：管理Kubernetes工作節(jié)點(diǎn)集群和在節(jié)點(diǎn)上部署Pod的服務(wù)器。節(jié)點(diǎn)可以?工作節(jié)點(diǎn)：也稱為從屬節(jié)點(diǎn)或下屬節(jié)點(diǎn)，這些服務(wù)器通常運(yùn)行應(yīng)用程序容器和代理等其他Kubernetes組件。?POD：Kubernetes中的部署和可尋址性單元。每個(gè)Pod都擁有獨(dú)立的IP地址，其中可能包含一個(gè)或多個(gè)容器(通常為一個(gè))。?服務(wù)：為其底層Pod和請(qǐng)求充當(dāng)代理的服務(wù)功能，可在各復(fù)制Pod之間進(jìn)行負(fù)載均衡。服務(wù)還可通過定義外部IP或節(jié)點(diǎn)端口來為一個(gè)或多個(gè)Pod提供外部訪問端66用于管理Kubernetes集群的主要組件包括API服務(wù)器、Kubelet和etcd。Kubernetes還支持基于瀏覽器的管理控制臺(tái)——Kubernetes儀表盤(可選)。以上所有組件都是潛在的攻擊目標(biāo)。例如，Tesla漏洞事件就是一個(gè)未被保護(hù)的Kubernetes控制臺(tái)被攻擊，進(jìn)而被安Kubernetes基于角色的訪問權(quán)限控制(RBAC)可實(shí)現(xiàn)資源的精細(xì)化管理。它能夠提供對(duì)應(yīng)用程序工作負(fù)載和Kubernetes系統(tǒng)資源的訪問權(quán)限。OpenShift等管理工具可以添加其他功能，但需要依賴或使用原生Kubernetes基本安全控制。通過妥善配置訪問權(quán)限控制來防止未經(jīng)授權(quán)訪問API服務(wù)器或應(yīng)用程序工作負(fù)載等Kubernetes組件的行為至關(guān)重要。Kubernetes的主要網(wǎng)絡(luò)連接概念是：為每個(gè)Pod分配獨(dú)立的可路由IP地址。Kubernetes (實(shí)際上是其網(wǎng)絡(luò)插件)負(fù)責(zé)在內(nèi)部將主機(jī)之間的所有請(qǐng)求路由至相應(yīng)的Pod。KubernetesPod的外部訪問權(quán)限可通過服務(wù)、負(fù)載均衡器或入口控制器來提供，Kubernetes會(huì)將其路由至相應(yīng)的Pod。Kubernetes使用iptables來控制Pod(和節(jié)點(diǎn))之間的網(wǎng)絡(luò)連接，以及處理大量的網(wǎng)絡(luò)連Kubernetes的IP地址。而PodIP且其容器能夠偵聽原生端口，因此端口映射得到了大大簡(jiǎn)化(大部分被省略)。鑒于所有這類Overlay網(wǎng)絡(luò)連接都由Kubernetes動(dòng)態(tài)處理，所以監(jiān)控網(wǎng)絡(luò)流量的難度極大，安全防護(hù)更是難上加難。以下是Kubernetes網(wǎng)絡(luò)連接運(yùn)行方式的示例。77POD11src:1dst:93POD11src:1dst:93calib10557e951dRoutingtable:/24via1devtunIO1devcalib10557e961deth0:0tunI0:devtunIOIPIPtunnel:src:0dst:1PODPOD293src:1dst:93calib0d7763386daRoutingtable:/24via03devcali0d7763386daeth0:1tunI0:3上圖所示為數(shù)據(jù)包在不同節(jié)點(diǎn)的Pod之間遍歷的方式。示例中使用的是CalicoCNI網(wǎng)絡(luò)插件。每個(gè)網(wǎng)絡(luò)插件對(duì)于PodIP地址(IPAM)的分配、iptables規(guī)則和跨節(jié)點(diǎn)網(wǎng)絡(luò)連接的配置略。1.當(dāng)CNI網(wǎng)絡(luò)插件收到來自Kubernetes的容器部署通知時(shí)，它負(fù)責(zé)指派IP地址，并在節(jié)點(diǎn)上配置相應(yīng)的iptables和路由規(guī)則。PodPodIP或Pod2的服務(wù)IP作為目標(biāo)位置向Pod2發(fā)送一個(gè)數(shù)據(jù)包。 的是Pod2的IP。)3.如果使用服務(wù)IP，則kube-proxy會(huì)執(zhí)行負(fù)載均衡和DNAT，并將目標(biāo)IP轉(zhuǎn)換為遠(yuǎn)odIP由位置。A.如果目標(biāo)位置是相同節(jié)點(diǎn)上的本地Pod，則數(shù)據(jù)包將直接被轉(zhuǎn)發(fā)至Pod的接口。Overlay網(wǎng)絡(luò)還是三層網(wǎng)絡(luò)路由機(jī)制。6.遠(yuǎn)程節(jié)點(diǎn)上的路由表會(huì)將數(shù)據(jù)包路由至目標(biāo)位置Pod2。NAT進(jìn)行)和封裝發(fā)生，并被網(wǎng)絡(luò)插件管理，檢查和監(jiān)控網(wǎng)絡(luò)流量中的攻擊和88Kubernetes漏洞和攻擊載體針對(duì)Pod上運(yùn)行的Kubernetes容器發(fā)起的攻擊可能來自外部網(wǎng)絡(luò)，也可能來自內(nèi)部人員，行的其他Pod，以進(jìn)行探測(cè)或發(fā)起攻擊。盡管三層網(wǎng)絡(luò)控制可通過建立IP地址白名單提供一定的保護(hù)，但通過受信任的IP地址發(fā)起的攻擊只有通過七層網(wǎng)絡(luò)篩選才能3.POD數(shù)據(jù)外泄：攻擊者往往通過多種手段實(shí)現(xiàn)數(shù)據(jù)竊取，其中可能包括在連接至命令與控制服務(wù)器的Pod上設(shè)置反向shell，以及通過網(wǎng)絡(luò)隧道來隱藏保4.通過被入侵的容器運(yùn)行惡意進(jìn)程：容器運(yùn)行的進(jìn)程通常比較有限，并且具有明確的定義，但被入侵的容器可能會(huì)啟動(dòng)挖礦軟件等惡意進(jìn)程，或網(wǎng)絡(luò)端口掃描等可疑進(jìn)程，或者注入未曾出現(xiàn)過的二進(jìn)制代碼(進(jìn)程攻擊)。4east-west5 6312pod4east-west5 6312podHOSTWORKERNODES995.入侵容器文件系統(tǒng)：攻擊者可能通過安裝存在漏洞的庫/數(shù)據(jù)包來攻擊容器，也可能DirtyCowLinux內(nèi)核漏洞升級(jí)至root權(quán)限。命令與控制攻擊準(zhǔn)備攻擊手段命令與控制攻擊準(zhǔn)備攻擊手段攻擊者天、幾周甚至實(shí)施安裝外泄偵查實(shí)施安裝外泄偵查其中包含的活動(dòng)需要多層安?網(wǎng)絡(luò)檢查：攻擊者通常會(huì)經(jīng)由網(wǎng)絡(luò)連接進(jìn)入，并通過網(wǎng)絡(luò)擴(kuò)大攻擊。最初，網(wǎng)絡(luò)為攻器：通過監(jiān)控各個(gè)容器中的進(jìn)程和系統(tǒng)調(diào)用活動(dòng)，即可確定可疑進(jìn)程是否已開始，或者攻擊者是否已嘗試升級(jí)權(quán)限并擊破容器，從而檢測(cè)出應(yīng)用程序或系統(tǒng)漏洞攻擊。?主機(jī)監(jiān)控：在這方面，傳統(tǒng)主機(jī)(端點(diǎn))安全防護(hù)能夠用于檢測(cè)針對(duì)內(nèi)核或系統(tǒng)資源的攻擊。但主機(jī)安全防護(hù)工具必須具有Kubernetes和容器意識(shí)，以確保全面覆蓋。例如，新的主機(jī)可以動(dòng)態(tài)進(jìn)入Kubernetes集群，并且必須包含由Kubernetes管理除了上述威脅載體，攻擊者還可能嘗試入侵KubernetesAPI服務(wù)器或控制臺(tái)等部署工具，從運(yùn)行的Pod的控制權(quán)限。容器的訪問權(quán)限，黑客也可能嘗試攻擊API服務(wù)器或Kubelets等Kubernetes資源。例如，在對(duì)Tesla的攻擊中，黑客攻陷了一個(gè)不受保護(hù)的控制通過盜取/盜用API服務(wù)器令牌或冒充授權(quán)用戶身權(quán)。Kubernetes發(fā)布了可通過Kubelet、etcd訪問權(quán)限或服務(wù)令牌實(shí)現(xiàn)的多種權(quán)限升級(jí)機(jī)以Kubernetes中間人漏洞為例，這是一種相對(duì)較新的惡意安全防護(hù)問題，已經(jīng)引起安全專家的廣泛關(guān)注，但更多問題還將繼續(xù)涌現(xiàn)。針對(duì)這類漏洞，攻擊者可以利用內(nèi)置服務(wù)定義，安全防護(hù)安全防護(hù)分析描程序隔離保護(hù)Docker虛擬光驅(qū)測(cè)制升級(jí)檢測(cè)理DockerBench防護(hù)與網(wǎng)絡(luò)連接集和事件記錄護(hù)SELinux、AppArmor洞掃描控，例如：內(nèi)容信任在介紹運(yùn)行時(shí)安全防護(hù)如何防御中間人和其他攻擊行為之前，我們先來回顧一下如何為整個(gè)CI/CD流水線集成安全防護(hù)。在構(gòu)建階段，代碼和鏡像分析能夠在批準(zhǔn)部署鏡像之前消除已知漏洞和違規(guī)，具有非常重要在交付階段，啟用適當(dāng)?shù)脑L問權(quán)限控制并限制鏡像部署對(duì)于避免生產(chǎn)線后期有意或意外引入在運(yùn)行階段，適當(dāng)鎖定準(zhǔn)備中的主機(jī)和編排工具是一種良好且必要的安全機(jī)制，但實(shí)時(shí)監(jiān)控盡管安全團(tuán)隊(duì)一直期望能夠擁有提供端到端安全防護(hù)的“神器”，但生產(chǎn)線中包含的層次和階段眾多，沒有一款工具可以面面俱到?？偟貋碚f，RedHatOpenShift、DockerEE、平臺(tái)可提供針對(duì)構(gòu)建、交付和預(yù)部署階段的安全防護(hù)工具和功能，而一些獨(dú)立的安全服務(wù)供應(yīng)商可提供包含運(yùn)行時(shí)安全防護(hù)的端到端工具。運(yùn)行時(shí)安全防護(hù)工具必須善于檢測(cè)和抵御基CI/CD生產(chǎn)線安全防護(hù)應(yīng)在CI/CD生產(chǎn)線中盡早集成安全防護(hù)措施，多數(shù)企業(yè)選擇在開發(fā)者構(gòu)建容器鏡像的階段著手。在鏡像進(jìn)入生產(chǎn)線的下一階段之前，開發(fā)者通過即時(shí)掃描可以確定是否存在必須修復(fù)的?如何在生產(chǎn)線中執(zhí)行和觸發(fā)掃描？Jenkins等多數(shù)工具都具有能夠觸發(fā)掃描的插件或?評(píng)估和修復(fù)漏洞的批準(zhǔn)流程是什么？應(yīng)該通知哪些人員來進(jìn)行審核？?在要求修復(fù)時(shí)應(yīng)當(dāng)采用什么標(biāo)準(zhǔn)？這種標(biāo)準(zhǔn)是否基于嚴(yán)重(CVSS分?jǐn)?shù)閾值較高)?在什么情況下應(yīng)放棄一項(xiàng)構(gòu)建任務(wù)？在重大漏洞具有可用修補(bǔ)程序時(shí)放棄，在沒有可?對(duì)違規(guī)是否應(yīng)設(shè)置寬限期和/或例外情況(豁免)？例外情況適用于哪些進(jìn)程？?如果在生產(chǎn)線后期發(fā)現(xiàn)漏洞，例如在生產(chǎn)階段的注冊(cè)表或正在運(yùn)行的容器中，是否應(yīng)除了在CI/CD生產(chǎn)線中集成掃描，其他安全防護(hù)措施包括：?生產(chǎn)線工具和注冊(cè)表訪問權(quán)限控制，旨在降低內(nèi)部濫用行為的可能性。?準(zhǔn)入控制，旨在預(yù)防漏洞或未經(jīng)授權(quán)的鏡像部署，或防止其在生產(chǎn)線中向前流動(dòng)。?針對(duì)開源組件和代碼掃描工具執(zhí)行許可證控制等其他企業(yè)軟件管理策略。Kubernetes節(jié)點(diǎn)生產(chǎn)準(zhǔn)備部署應(yīng)用程序容器之前，應(yīng)鎖定Kubernetes工作節(jié)點(diǎn)的主機(jī)系統(tǒng)。下面介紹的是鎖定主機(jī)驟建議?使用命名空間?限制Linux功能?啟用SELinux?采用Seccomp?配置Cgroups?使用R/O裝載?使用最小化的主機(jī)操作系統(tǒng)?更新系統(tǒng)補(bǔ)丁?運(yùn)行CIS基準(zhǔn)安全測(cè)試在暫存和生產(chǎn)環(huán)境中應(yīng)持續(xù)對(duì)Kubernetes主機(jī)進(jìn)行審核和掃描，確保在更新和擴(kuò)展活動(dòng)期Kubernetes運(yùn)行時(shí)容器當(dāng)容器在生產(chǎn)中運(yùn)行時(shí)，三個(gè)重要的安全防護(hù)載體是：網(wǎng)絡(luò)篩選、容器檢查和主機(jī)安全容器防火墻是一種新型網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，可針對(duì)新的云原生Kubernetes環(huán)境采取傳統(tǒng)網(wǎng)?基于IP地址和端口的三/四層網(wǎng)絡(luò)篩選。這種方式包含用于動(dòng)態(tài)更新規(guī)則的Kubernetes網(wǎng)絡(luò)策略，可在部署更改和擴(kuò)展時(shí)提供保護(hù)。簡(jiǎn)單的網(wǎng)絡(luò)分段規(guī)則并非是為關(guān)鍵性業(yè)務(wù)容器部署提供可靠的監(jiān)控、記錄和威脅檢測(cè)，而是能夠防止一些未經(jīng)授權(quán)的網(wǎng)絡(luò)?Web應(yīng)用防火墻(WAF)攻擊檢測(cè)能夠采用檢測(cè)常見攻擊的方法來保護(hù)面向Web的容器(通常為基于HTTP或HTTPS的應(yīng)用程序)，與Web應(yīng)用防火墻的功能類似。?七層容器防火墻具備七層篩選和對(duì)Pod間流量的深度數(shù)據(jù)包檢測(cè)的功能，可通過使用網(wǎng)絡(luò)應(yīng)用程序協(xié)議來保護(hù)容器安全。容器防火墻還與Kubernetes等編排工具集成，防火墻還具備一項(xiàng)特殊的優(yōu)勢(shì)，可將容器進(jìn)程監(jiān)控和主機(jī)安全防護(hù)納入受監(jiān)控的威脅深度包檢測(cè)(DPI)技術(shù)對(duì)于容器防火墻的深度網(wǎng)絡(luò)安全防護(hù)必不可少。入侵通常使用可預(yù)測(cè)的攻擊載體：標(biāo)頭格式錯(cuò)誤的惡意HTTP請(qǐng)求，或包含在可擴(kuò)展標(biāo)記語言(XML)對(duì)象中的可執(zhí)行shell命令。基于DPI的七層檢測(cè)能夠?qū)ふ也l(fā)現(xiàn)這些攻擊方式。針對(duì)每一次Pod連鑒于容器和Kubernetes網(wǎng)絡(luò)連接模型的動(dòng)態(tài)性質(zhì)，傳統(tǒng)的網(wǎng)絡(luò)可見性、取證和分析工具均無法使用。為調(diào)試應(yīng)用程序或調(diào)查安全防護(hù)事件進(jìn)行的抓包等任務(wù)也不再簡(jiǎn)單。需要Kubernetes和具有容器意識(shí)的工具來執(zhí)行網(wǎng)絡(luò)安全防護(hù)、檢查和取證任務(wù)。網(wǎng)絡(luò)攻擊者經(jīng)常使用特權(quán)升級(jí)和惡意進(jìn)程來發(fā)起攻擊或擴(kuò)散。針對(duì)Linux內(nèi)核漏洞(例如DirtyCow)、數(shù)據(jù)包、庫或應(yīng)用程序本身的攻擊可能導(dǎo)致容器中出現(xiàn)可疑活動(dòng)。檢查容器進(jìn)程和文件系統(tǒng)活動(dòng)以及檢測(cè)可疑行為是容器安全防護(hù)的重要組成部分。端口掃描和反向shell或特權(quán)升級(jí)等可疑進(jìn)程都應(yīng)被檢測(cè)出來。應(yīng)當(dāng)將內(nèi)置檢測(cè)與基準(zhǔn)行為學(xué)習(xí)流程相如果容器化應(yīng)用程序采用的是微服務(wù)設(shè)計(jì)原則，即容器中的每個(gè)應(yīng)用程序都具備少量功能，并且僅使用必須的數(shù)據(jù)包和庫來構(gòu)建容器，則將大大簡(jiǎn)化對(duì)可疑進(jìn)程和文件系統(tǒng)活動(dòng)的檢如果運(yùn)行容器的主機(jī)(例如Kubernetes工作節(jié)點(diǎn))被入侵，可能導(dǎo)致一系列不良后果，?root特權(quán)升級(jí)?安全防護(hù)應(yīng)用程序或基礎(chǔ)設(shè)施訪問權(quán)限的機(jī)密被盜?集群管理員特權(quán)遭到更改?主機(jī)資源被破壞或劫持(例如挖礦軟件)?API服務(wù)器或Docker虛擬光驅(qū)等重要編排工具基礎(chǔ)設(shè)施關(guān)閉?之前在容器檢查一章中提到的可疑進(jìn)程啟動(dòng)對(duì)于容器來說，需要對(duì)主機(jī)系統(tǒng)中的這些可疑活動(dòng)進(jìn)行監(jiān)控。因?yàn)槿萜髂芟裰鳈C(jī)一樣運(yùn)行操作系統(tǒng)和應(yīng)用程序，所以監(jiān)控容器進(jìn)程和文件系統(tǒng)活動(dòng)需要與監(jiān)控主機(jī)相同的安全防護(hù)功能。將網(wǎng)絡(luò)檢查、容器檢查和主機(jī)安全防護(hù)相結(jié)合是通過多種威脅載體檢測(cè)殺傷鏈的最佳Kubernetes系統(tǒng)和資源如果得不到保護(hù)，Kubernetes等編排工具和基于其構(gòu)建的管理平臺(tái)都將面臨攻擊威脅。這以及Kubelet被攻擊事件為新技術(shù)在未來陷入攻擊和更新補(bǔ)丁反復(fù)拉鋸的循環(huán)拉開了序幕。為了幫助Kubernetes和管理平臺(tái)抵御攻擊，針對(duì)系統(tǒng)資源妥善配置RBAC非常重要。為確面：2.限制KUBELET權(quán)限。為Kubelets配置RBAC并管理證書輪換，保護(hù)Kubelet安對(duì)所有需要的外部端口要求進(jìn)行身份驗(yàn)證。針對(duì)未經(jīng)身份驗(yàn)證的服務(wù)，限制其對(duì)白名登錄，則不應(yīng)允許控制臺(tái)/代理訪問?？偟貋碚f，應(yīng)仔細(xì)審核所有基于角色的訪問權(quán)限控制。例如，應(yīng)審核具有集群管理員角色的與上文介紹鎖定工作節(jié)點(diǎn)時(shí)提到的可靠主機(jī)安全防護(hù)相結(jié)合，可以幫助Kubernetes部署基礎(chǔ)設(shè)施抵御攻擊。不過也建議使用監(jiān)控工具來追蹤對(duì)基礎(chǔ)設(shè)施服務(wù)的訪問，以檢測(cè)未經(jīng)授權(quán)以TeslaKubernetes控制臺(tái)遭到的攻擊為例，一旦工作節(jié)點(diǎn)的訪問權(quán)限被攻陷，黑客即可創(chuàng)建與中國的外部連接，用于控制挖礦軟件。對(duì)容器、主機(jī)、網(wǎng)絡(luò)和系統(tǒng)資源實(shí)施基于策略Kubernetes環(huán)境的審核與合規(guī)隨著Kubernetes等容器技術(shù)和工具的快速發(fā)展，企業(yè)將不斷對(duì)容器環(huán)境進(jìn)行更新、升級(jí)和遷移。運(yùn)行一系列專為Kubernetes環(huán)境設(shè)計(jì)的安全測(cè)試將確保安全防護(hù)不會(huì)在每次更改后削弱。這種方式可評(píng)估基礎(chǔ)設(shè)施的安全態(tài)勢(shì)，確定其是否存在被攻擊的風(fēng)險(xiǎn)。隨著更多的企好在針對(duì)Kubernetes和Docker環(huán)境，可通過Kubernetes和DockerBench測(cè)試的CIS基準(zhǔn)執(zhí)行一系列全面的安全態(tài)勢(shì)檢查。應(yīng)將定期運(yùn)行這些測(cè)試和確認(rèn)預(yù)計(jì)結(jié)果的流程自?主機(jī)安全性?Kubernetes安全性?Docker虛擬光驅(qū)安全性?容器安全性?RBAC配置正確性?數(shù)據(jù)在空閑和傳輸時(shí)的安全性220此外，鏡像掃描應(yīng)包含與鏡像安全防護(hù)相關(guān)的CIS基準(zhǔn)測(cè)試。其他鏡像合規(guī)測(cè)試也能檢查鏡像是否存在嵌入式機(jī)密和文件訪問(setuid/setgid)違規(guī)。注冊(cè)表和生產(chǎn)中的鏡像和容器漏洞掃描也是防御已知攻擊和滿足合規(guī)性的核心組成部分。掃描可以整合到構(gòu)建流程和CI/CD生產(chǎn)線中，確保所有向生產(chǎn)階段流動(dòng)的鏡像全部經(jīng)過測(cè)試。在生產(chǎn)中，應(yīng)當(dāng)對(duì)運(yùn)行的容器和主機(jī)定期進(jìn)行漏洞掃描。但漏洞掃描不足以提供容器運(yùn)行時(shí)編排和容器管理工具雖然具備基本的RBAC和基礎(chǔ)設(shè)施安全防護(hù)功能，但它們并非專門的安全防護(hù)工具。關(guān)鍵性的業(yè)務(wù)部署仍然需要專業(yè)的Kubernetes安全防護(hù)工具。具體來說，需要一種安全防護(hù)解決方案，能夠解決涵蓋三種主要安全載體(網(wǎng)絡(luò)、容器和主機(jī))的安全?在構(gòu)建階段和注冊(cè)表中進(jìn)行鏡像的生產(chǎn)線漏洞掃描和合規(guī)性掃描。?準(zhǔn)入控制，可防止存在漏洞或未經(jīng)授權(quán)的鏡像部署。?涵蓋網(wǎng)絡(luò)、容器和主機(jī)的多載體容器安全防護(hù)。?七層容器防火墻，可保護(hù)東西向和進(jìn)出流量。?容器保護(hù)，防御未經(jīng)授權(quán)的進(jìn)程和文件活動(dòng)。?主機(jī)安全防護(hù)，用于檢測(cè)系統(tǒng)攻擊。?借助行為學(xué)習(xí)自動(dòng)化創(chuàng)建策略，并可通過自適應(yīng)執(zhí)行實(shí)現(xiàn)自動(dòng)擴(kuò)展。?運(yùn)行時(shí)漏洞掃描，可為Kubernetes?運(yùn)行時(shí)漏洞掃描，可為Kubernetes?通過CIS安全基準(zhǔn)滿足合規(guī)性和審計(jì)NeuVector解決方案本身就是一個(gè)容器，可通過Kubernetes或OpenShift、SUSERancher、DockerEE、IBMCloud、SUSECaaS、EKS等任何其他編排系統(tǒng)進(jìn)行部署和nginxwordpress節(jié)點(diǎn)2節(jié)點(diǎn)3mysql服務(wù)Aredis服務(wù)B管理NeuVector可將安全防護(hù)的起點(diǎn)左移至CI/CD生產(chǎn)線構(gòu)建階段。容器鏡像構(gòu)建能夠觸發(fā)漏洞掃描，并將在發(fā)現(xiàn)重大漏洞時(shí)放棄構(gòu)建?？梢砸箝_發(fā)者在修復(fù)這些漏洞之后才能準(zhǔn)許鏡像通過構(gòu)建階段，并存儲(chǔ)在經(jīng)過審核的注冊(cè)表中。NeuVector支持Jenkins、CircleCI、AzureDevOps和Gitlab等所有常見的生產(chǎn)線工具，并且還為任何其他使用中的構(gòu)建工具NeuVector會(huì)持續(xù)掃描已審核的注冊(cè)表中的鏡像是否存在新的漏洞。在構(gòu)建階段或注冊(cè)表鏡像掃描過程中，除了提供分層掃描結(jié)果，還會(huì)針對(duì)CIS基準(zhǔn)、檢測(cè)到的機(jī)密和文件訪問權(quán)限漏洞與合規(guī)性瀏覽器能夠分析結(jié)果、創(chuàng)建合規(guī)性報(bào)告 HIPAAGDPRNIST3在將NeuVector部署到各個(gè)工作節(jié)點(diǎn)之后，容器網(wǎng)絡(luò)連接和服務(wù)依存關(guān)系將一目了然。隔離和保護(hù)Kubernetes部署的安全防護(hù)策略將自動(dòng)創(chuàng)建。如何為Kubernetes部署中的多種攻擊載體提供保護(hù)，請(qǐng)看下面幾個(gè)示例。NeuVector能夠自動(dòng)發(fā)現(xiàn)和可視化運(yùn)行中的Pod及其網(wǎng)絡(luò)連接和安全防護(hù)策略。并可通過自動(dòng)部署的白名單規(guī)則將每個(gè)應(yīng)用程序堆棧隔離。無論針對(duì)容器的攻擊來自內(nèi)部還是外部，NeuVector都能夠檢測(cè)和攔截。NeuVector七層防火墻可在監(jiān)控(網(wǎng)絡(luò)tap)模式下運(yùn)行，也可運(yùn)行保2424護(hù)(內(nèi)聯(lián))模式來攔截攻擊或未經(jīng)授權(quán)的連接，同時(shí)讓容器對(duì)經(jīng)過驗(yàn)證的流量保持活躍。任KubernetesPod的抓包將自動(dòng)完成并簡(jiǎn)化，可供用于取證、記錄和應(yīng)用程序調(diào)試。NeuVector借助內(nèi)置的端口掃描和反向shell等可疑進(jìn)程檢測(cè)功能，能夠檢測(cè)出任何容器中的反常活動(dòng)。此外，各容器中正在運(yùn)行的進(jìn)程都將被用來制定基準(zhǔn)，為檢測(cè)未經(jīng)授權(quán)的或惡2525NeuVector還將監(jiān)控容器文件系統(tǒng)中的可疑活動(dòng)。例如，在安裝或更新數(shù)據(jù)包或庫時(shí)，NeuVector將自動(dòng)觸發(fā)漏洞掃描，并生成告警。NeuVector會(huì)監(jiān)控主機(jī)系統(tǒng)中的特權(quán)升級(jí)等攻擊。在容器中檢測(cè)出的可疑進(jìn)程在主機(jī)上運(yùn)行時(shí)也將被檢測(cè)。例如，NeuVector能夠檢測(cè)到端口掃描或反向shell進(jìn)程開始運(yùn)行，并發(fā)出告警。而且，NeuVector還能夠?qū)W習(xí)已允許在主機(jī)上運(yùn)行的進(jìn)程并建立白名單，并攔截任何NeuVector也會(huì)監(jiān)控系統(tǒng)容器以及各容器的網(wǎng)絡(luò)活動(dòng)。Kubernetes和OpenShift容器及其226NeuVector會(huì)自動(dòng)掃描運(yùn)行中的Pod、容器和工作節(jié)點(diǎn)的漏洞，并在各個(gè)節(jié)點(diǎn)上運(yùn)行KubernetesCIS基準(zhǔn)測(cè)試，還將對(duì)系統(tǒng)容器和編排平臺(tái)(例如Kubernetes1.19)進(jìn)行漏NeuVector還可在構(gòu)建和交付階段(檢查鏡像注冊(cè)表)以及在CI/CD自動(dòng)化生產(chǎn)線中執(zhí)行漏洞掃描，并提供Jenkins集成，從而能夠在鏡像構(gòu)建過程中進(jìn)行掃描。Kubernetes安全防護(hù)自動(dòng)化——隨著DevOps團(tuán)隊(duì)向容器和Kubernetes的應(yīng)用程序自動(dòng)化部署全速前進(jìn)，安全防護(hù)自動(dòng)化勢(shì)在必行?，F(xiàn)在的安全防護(hù)團(tuán)隊(duì)已經(jīng)今非昔比，再也不可能隨時(shí)叫?；蚍啪彂?yīng)用程序、基礎(chǔ)安全防護(hù)自動(dòng)化首先要為運(yùn)行中的容器創(chuàng)建安全的基礎(chǔ)設(shè)施和平臺(tái)，之后是自動(dòng)化運(yùn)行時(shí)安全防護(hù)。利用Terraform等基礎(chǔ)設(shè)施即代碼概念和工具可確保獲得具有可重復(fù)安全配置的安通過將行為學(xué)習(xí)和Kubernetes與自定義資源定義(CRD)相結(jié)合實(shí)現(xiàn)的安全即代碼，多數(shù)運(yùn)行時(shí)安全防護(hù)都能實(shí)現(xiàn)自動(dòng)化。最初可能始終需要一些手動(dòng)設(shè)置或自定義，但當(dāng)開啟生產(chǎn)開關(guān)，并由Kubernetes開始管理Pod時(shí)，安全防護(hù)即可自動(dòng)化進(jìn)行，并能隨著部署的情況進(jìn)2828√定義Kubernetes原生yaml中的應(yīng)用程序行為√網(wǎng)絡(luò)連接和協(xié)議√進(jìn)出控制√進(jìn)程和文件系統(tǒng)活動(dòng)√實(shí)現(xiàn)安全策略的版本管理√執(zhí)行全局安全規(guī)則P√RBAC集成√Kubernetes執(zhí)行CRD創(chuàng)建許可√簡(jiǎn)化從暫存到生產(chǎn)階段的過渡√支持開放策略代理(OPA)和其他集成NeuVector等新型安全工具能夠與Kubernetes部署模型融合，從而提供多載體的運(yùn)行時(shí)安全防護(hù)。將Kubernetes容器防火墻與容器檢查和主機(jī)安全防護(hù)相結(jié)合，能夠檢測(cè)和阻止殺傷鏈中的破壞性攻擊活動(dòng)。憑借先進(jìn)的公有云架構(gòu)，NeuVector能夠以容器形式在鄰近應(yīng)用由于容器化應(yīng)用程序的聲明式特點(diǎn)，以及Kubernetes等工具的豐富集成選擇，即使在高度動(dòng)態(tài)化的容器環(huán)境中也可以執(zhí)行高級(jí)安全控制。通過與Kubernetes集成，并整合多項(xiàng)行為學(xué)習(xí)和多載體安全防護(hù)功能，可以實(shí)現(xiàn)整個(gè)生產(chǎn)線的安全防護(hù)自動(dòng)化，從而滿足關(guān)鍵性Kubernetes業(yè)務(wù)部署的迫切需求。2929對(duì)于容器基礎(chǔ)設(shè)施來說，滿足行業(yè)標(biāo)準(zhǔn)的合規(guī)性要求并非易事。這些新的虛擬化層還未經(jīng)過NeuVector能夠助力達(dá)成PCI、GDPR、SOC2、HIPAA和NIST等標(biāo)準(zhǔn)的合規(guī)性要求，遵循?網(wǎng)絡(luò)分段和建立防火墻。憑借專門設(shè)計(jì)用于容器和Kubernetes網(wǎng)絡(luò)篩選及保護(hù)的七?漏洞掃描和修復(fù)。通過端到端漏洞管理，NeuVector可在從構(gòu)建階段到生產(chǎn)的整個(gè)?審核配置測(cè)試。通過KubernetesCIS基準(zhǔn)等合規(guī)性檢查來審查和執(zhí)行系統(tǒng)(主機(jī))?限制訪問權(quán)限控制。評(píng)估和授予所需的最低級(jí)別用戶訪問特權(quán)能夠降低發(fā)生RBAC攻3030?加密和敏感數(shù)據(jù)保護(hù)。NeuVector可確保流動(dòng)數(shù)據(jù)的連接加密，甚至能使用DLP技NeuVector可針對(duì)容器部署的PCI、GDPR、HIPAA和NIST合規(guī)性提供可自定義的預(yù)配置NeuVector通過將可自定義的合規(guī)性報(bào)告、端到端漏洞管理、防火墻構(gòu)建和網(wǎng)絡(luò)分段以及合規(guī)性測(cè)試相結(jié)合，成功幫助眾多企業(yè)的全新云原生基礎(chǔ)設(shè)施和工作負(fù)載達(dá)成了合規(guī)性要求，涵蓋從PCI和GDPR，到服務(wù)組織控制(SOC)2類審計(jì)等多項(xiàng)標(biāo)準(zhǔn)。SOC2是一項(xiàng)審計(jì)規(guī)程，旨在確保服務(wù)提供商(應(yīng)用程序)以安全的方式管理數(shù)據(jù)，從而保護(hù)組織的利益及其用戶的隱私。對(duì)于注重安全性的企業(yè)而言，在考慮SaaS提供商時(shí)，滿足SO