Kubernetes-安全防護(hù)終極指南

\h終極指\h\h\h如何保護(hù)\h流水終極指Kubernetes安全防如何保護(hù)Kubernetes流水保護(hù)容器部署安全的重要意 Kubernetes的運(yùn)行機(jī) Kubernetes漏洞和攻擊載 保護(hù)整個(gè)流水 CI/CD生產(chǎn)線安全防 Kubernetes節(jié)點(diǎn)生產(chǎn)準(zhǔn) Kubernetes運(yùn)行時(shí)容器安全防 Kubernetes系統(tǒng)和資源安全防 Kubernetes環(huán)境的審核與合規(guī)——安全態(tài) Kubernetes安全防護(hù)自動(dòng)化——這可能嗎 開源Kubernetes安全防護(hù)工 運(yùn)行時(shí)Kubernetes安全防護(hù)檢查清 2借助容器和Kubernetes等工具，企業(yè)能夠在應(yīng)用程序部署的諸多方面實(shí)現(xiàn)自動(dòng)化，繼而獲更麻煩的是，公有云中的Kubernetes等新型工具和技術(shù)以及托管容器服務(wù)本身就將為攻擊企業(yè)的重要資產(chǎn)提供可乘之機(jī)。繼近期Kubernetes的\h中間人漏洞和\hTesla\h漏洞事件之后，CI/CD流水線引入的漏洞。開源組件的大量運(yùn)用和不斷涌現(xiàn)\h攻擊面擴(kuò)大。Kubernetes和Docker自動(dòng)化安全防護(hù)才能滿足發(fā)展需要。以往的安全防護(hù)模型和工具無(wú)法應(yīng)對(duì)不斷變化KubernetesPod從出現(xiàn)到消失可能只有幾分鐘甚至幾秒的時(shí)間。可能包含新網(wǎng)絡(luò)連接的應(yīng)用程序行為必須即時(shí)納入強(qiáng)制安全策略中。我們需要通過(guò)新一代自動(dòng)化安全工具來(lái)保護(hù)容器安全，在流水線前期聲明安全策略，并通過(guò)代碼形式進(jìn)行管理。KUBERNETES團(tuán)隊(duì)對(duì)正在部署的KubernetesPod是否具有可見性？例如，是否了解應(yīng)用程序團(tuán)隊(duì)能否確定每個(gè)Pod當(dāng)內(nèi)部服務(wù)Pod或容器開始在內(nèi)部掃描端口或嘗試隨機(jī)連接外部網(wǎng)絡(luò)時(shí)，團(tuán)隊(duì)如何團(tuán)隊(duì)如何確定攻擊者是否已經(jīng)在容器、Pod團(tuán)隊(duì)能否像對(duì)于非容器化部署一樣全面查看和檢查網(wǎng)絡(luò)連接？例如7如果面臨潛在攻擊，團(tuán)隊(duì)能否監(jiān)控Pod團(tuán)隊(duì)是否曾通過(guò)檢查Kubernetes團(tuán)隊(duì)是否擁有鎖定Kubernetes服務(wù)、訪問(wèn)控制(RBAC)如果具備合規(guī)策略，如何在運(yùn)行時(shí)執(zhí)行以確保合規(guī)性？例如，確保內(nèi)部Pod通信加密，當(dāng)Pod未使用加密通道時(shí)團(tuán)隊(duì)將如何得知？在對(duì)應(yīng)用程序通信進(jìn)行故障排除或記錄取證數(shù)據(jù)時(shí)，如何定位相關(guān)Pod并抓取日志？這篇指南將重點(diǎn)圍繞自動(dòng)化運(yùn)行時(shí)安全防護(hù)，介紹如何實(shí)現(xiàn)Kubernetes首先必須要了解Kubernetes的運(yùn)行機(jī)制和Kubernetes如果還不熟悉\hKubernetesKubernetes是一種能夠自動(dòng)化部署、更新和監(jiān)控容器的編排工具。RedHatOpenShifrEMSESe等所有主流容器管理和云平臺(tái)全部支持KubernetesKubernetes相關(guān)概念：主節(jié)點(diǎn)：管理Kubernetes工作節(jié)點(diǎn)集群和在節(jié)點(diǎn)上部署Pod的服務(wù)器。節(jié)點(diǎn)可以其他Kubernetes組件。POD：Kubernetes中的部署和可尋址性單元。每個(gè)Pod都擁有獨(dú)立的IP地址，其服務(wù)：為其底層Pod和請(qǐng)求充當(dāng)代理的服務(wù)功能，可在各復(fù)制Pod之間進(jìn)行負(fù)載均衡。服務(wù)還可通過(guò)定義外部IP或節(jié)點(diǎn)端口來(lái)為一個(gè)或多個(gè)Pod提供外部訪問(wèn)端點(diǎn)。Kubernetes也提供DNS服務(wù)、路由程序和負(fù)載均衡器。用于管理Kubernetes集群的主要組件包括API服務(wù)器、Kubelet和etcd。Kubernetes支持基于瀏覽器的管理控制臺(tái)——Kubernetes（可選）。以上所有組件都是潛在的攻擊目標(biāo)。例如，\hTesla\h漏洞事件就是一個(gè)未被保護(hù)的Kubernetes控制臺(tái)被攻擊，進(jìn)而被安裝了挖礦軟件。KUBERNETESKubernetes基于角色的訪問(wèn)權(quán)限控制(RBAC)可實(shí)現(xiàn)資源的精細(xì)化管理。它能夠提供對(duì)應(yīng)用程序工作負(fù)載和Kubernetes系統(tǒng)資源的訪問(wèn)權(quán)限。OpenShift等管理工具可以添加其他功能，但需要依賴或使用原生Kubernetes基本安全控制。通過(guò)妥善配置訪問(wèn)權(quán)限控制來(lái)防止未經(jīng)授權(quán)訪問(wèn)API服務(wù)器或應(yīng)用程序工作負(fù)載等Kubernetes組件的行為至關(guān)重要。KUBERNETESKubernetes的主要網(wǎng)絡(luò)連接概念是：為每個(gè)Pod分配獨(dú)立的可路由IP地址。（實(shí)際上是其網(wǎng)絡(luò)插件）Po。Pod的外部訪問(wèn)權(quán)限可通過(guò)服務(wù)、負(fù)載均衡器或入口控制器來(lái)提供，Kubernetes會(huì)將其路由至相應(yīng)的Pod。Kubernetes使用iptables來(lái)控制Pod（和節(jié)點(diǎn)）之間的網(wǎng)絡(luò)連接，以及處理大量的網(wǎng)絡(luò)連接和端口轉(zhuǎn)接規(guī)則。這樣一來(lái)，客戶就不需要追蹤連接至Kubernetes服務(wù)的IP地址。而且，由于各個(gè)Pod都有獨(dú)立的IP地址，并且其容器能夠偵聽原生端口，因此端口映射得到了OverlayKubernetes動(dòng)態(tài)處理，所以監(jiān)控網(wǎng)絡(luò)流量的難度極大，安全防護(hù)更是難上加難。以下是Kubernetes網(wǎng)絡(luò)連接運(yùn)行方式的示例。PODPODPODsrc:dst:

RoutingRouting/24via1dev1dev

src:dst:RoutingRouting/24via0dev3devtunI0:

eth0:IPIPtunnel:IPIPtunnel:src:dst:上圖所示為數(shù)據(jù)包在不同節(jié)點(diǎn)的Pod之間遍歷的方式。示例中使用的是CalicoCNI網(wǎng)絡(luò)插件。每個(gè)網(wǎng)絡(luò)插件對(duì)于PodIP地址(IPAM)的分配、iptables規(guī)則和跨節(jié)點(diǎn)網(wǎng)絡(luò)連接的配置當(dāng)CNI網(wǎng)絡(luò)插件收到來(lái)自Kubernetes的容器部署通知時(shí)，它負(fù)責(zé)指派IP地址，并在節(jié)點(diǎn)上配置相應(yīng)的iptables和路由規(guī)則。Pod1會(huì)使用Pod2的IP或Pod2的服務(wù)IP作為目標(biāo)位置向Pod2發(fā)送一個(gè)數(shù)據(jù)包（圖中使用的是Pod2的IP。如果使用服務(wù)IP，則kube-proxy會(huì)執(zhí)行負(fù)載均衡和DNAT，并將目標(biāo)IP轉(zhuǎn)換為遠(yuǎn)程Pod的IP。如果目標(biāo)位置是相同節(jié)點(diǎn)上的本地Pod，則數(shù)據(jù)包將直接被轉(zhuǎn)發(fā)至PodOverlay網(wǎng)絡(luò)還是三層網(wǎng)絡(luò)路由機(jī)在上圖中，數(shù)據(jù)包被發(fā)送至IPIP隧道接口，并通過(guò)IPIP遠(yuǎn)程節(jié)點(diǎn)上的路由表會(huì)將數(shù)據(jù)包路由至目標(biāo)位置Pod2在路由、NAT（可能進(jìn)行）違規(guī)連接都極其困難。Kubernetes針對(duì)Pod上運(yùn)行的Kubernetes容器發(fā)起的攻擊可能來(lái)自外部網(wǎng)絡(luò)，也可能來(lái)自內(nèi)部人員，134east- 6Pod134east- 6POD數(shù)據(jù)外泄：攻擊者往往通過(guò)多種手段實(shí)現(xiàn)數(shù)據(jù)竊取，其中可能包括在連接至命令與控制服務(wù)器的Pod上設(shè)置反shell，以及通過(guò)網(wǎng)絡(luò)隧道來(lái)隱藏保

WORKER入侵容器文件系統(tǒng)：攻擊者可能通過(guò)安裝存在漏洞的庫(kù)/數(shù)據(jù)包來(lái)攻擊容器，也可能修改敏感文件。攻擊完成之后，可能會(huì)嘗試權(quán)限升級(jí)或其他突破方式。入侵工作節(jié)點(diǎn)：DirtyCowLinux內(nèi)核漏洞升級(jí)至root權(quán)限

準(zhǔn)備攻擊手 攻 命令與控偵 實(shí)

安 外的攻擊。但主機(jī)安全防護(hù)工具必須具有Kubernetes和容器意識(shí)，以確保全面覆蓋。例如，新的主機(jī)可以動(dòng)態(tài)進(jìn)入Kubernetes集群，并且必須包含由Kubernetes管理除了上述威脅載體，攻擊者還可能嘗試入侵KubernetesAPI服務(wù)器或控制臺(tái)等部署工具，從而獲取機(jī)密，或接管正在運(yùn)行的Pod的控制權(quán)限。針對(duì)KUBERNETES器的訪問(wèn)權(quán)限，黑客也可能嘗試攻擊API服務(wù)器或Kubelets等Kubernetes資源。例如，在對(duì)Tesla的攻擊中，黑客攻陷了一個(gè)不受保護(hù)的控制通過(guò)盜取/盜用API服務(wù)器令牌或冒充授權(quán)用戶身權(quán)。Kubernetes發(fā)布了可通過(guò)Kubelet、etcd訪問(wèn)權(quán)限或服務(wù)令牌實(shí)現(xiàn)的多種權(quán)限升級(jí)機(jī)以Kubernetes中間人漏洞為例，這是一種相對(duì)較新的惡意安全防護(hù)問(wèn)題，已經(jīng)引起安全專家的廣泛關(guān)注，但更多問(wèn)題還將繼續(xù)涌現(xiàn)。針對(duì)這類漏洞，攻擊者可以利用內(nèi)置服務(wù)定義，通過(guò)一種不常用的渠道——外部IP發(fā)起中間人攻擊。\hCI/CD流水線 持續(xù)性容器安全防 持續(xù)性容器安全防 構(gòu) 交 運(yùn) 準(zhǔn) 生 Docker階段眾多，沒有一款工具可以面面俱到?？偟貋?lái)說(shuō)，RedHatOpenShift、DockerEE、SUSERancher、SUSECaaS和AWSEKS平臺(tái)可提供針對(duì)構(gòu)建、交付和預(yù)部署階段的安全防護(hù)工具和功能，而一些獨(dú)立的安全服務(wù)供應(yīng)商可提供包含運(yùn)行時(shí)安全防護(hù)的端到端工具。運(yùn)行時(shí)安全防護(hù)工具必須善于檢測(cè)和抵御基于網(wǎng)絡(luò)和容器發(fā)起的復(fù)雜攻擊。本指南稍后將總結(jié)一些開源容器安全防護(hù)項(xiàng)目。CI/CD應(yīng)在CI/CD生產(chǎn)線中盡早集成安全防護(hù)措施，多數(shù)企業(yè)選擇在開發(fā)者構(gòu)建容器鏡像的階段著手。在鏡像進(jìn)入生產(chǎn)線的下一階段之前，開發(fā)者通過(guò)即時(shí)掃描可以確定是否存在必須修復(fù)的重大漏洞或違規(guī)。技術(shù)和流程方面都有一些值得思考的問(wèn)題，比如：如何在生產(chǎn)線中執(zhí)行和觸發(fā)掃描？Jenkins等多數(shù)工具都具有能夠觸發(fā)掃描的插件或在要求修復(fù)時(shí)應(yīng)當(dāng)采用什么標(biāo)準(zhǔn)？這種標(biāo)準(zhǔn)是否基于嚴(yán)重（CVSS分?jǐn)?shù)閾值較高）對(duì)違規(guī)是否應(yīng)設(shè)置寬限期和/或例外情況（豁免）？除了在CI/CDKubernetes部署應(yīng)用程序容器之前，應(yīng)鎖定Kubernetes工作節(jié)點(diǎn)的主機(jī)系統(tǒng)。下面介紹的是鎖定主機(jī)限制Linux啟用采用配置使用R/O裝運(yùn)行CIS在暫存和生產(chǎn)環(huán)境中應(yīng)持續(xù)對(duì)Kubernetes主機(jī)進(jìn)行審核和掃描，確保在更新和擴(kuò)展活動(dòng)期Kubernetes運(yùn)行時(shí)容器當(dāng)容器在生產(chǎn)中運(yùn)行時(shí)，三個(gè)重要的安全防護(hù)載體是：網(wǎng)絡(luò)篩選、容器檢查和主機(jī)安全容器防火墻是一種新型網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，可針對(duì)新的云原生Kubernetes環(huán)境采取傳統(tǒng)網(wǎng)基于P網(wǎng)絡(luò)策略，可在部署更改和擴(kuò)展時(shí)提供保護(hù)。簡(jiǎn)單的網(wǎng)絡(luò)分段規(guī)則并非是為關(guān)鍵性業(yè)務(wù)容器部署提供可靠的監(jiān)控、記錄和威脅檢測(cè)，而是能夠防止一些未經(jīng)授權(quán)的網(wǎng)絡(luò)連接。Web應(yīng)用防火墻(WAF)攻擊檢測(cè)能夠采用檢測(cè)常見攻擊的方法來(lái)保護(hù)面向Web的容器（通常為基于HTTP或HTTPS的應(yīng)用程序），與Web應(yīng)用防火墻的功能類似。七層容器防火墻具備七層篩選和對(duì)Pod間流量的深度數(shù)據(jù)包檢測(cè)的功能，可通過(guò)使用網(wǎng)絡(luò)應(yīng)用程序協(xié)議來(lái)保護(hù)容器安全。容器防火墻還與Kubernetes等編排工具集成，DDoS、DNS和SQL注入等通過(guò)網(wǎng)絡(luò)發(fā)起的常見應(yīng)用程序攻擊進(jìn)行內(nèi)置檢測(cè)，從而實(shí)施保護(hù)。容器深度包檢測(cè)(DPI)技術(shù)對(duì)于容器防火墻的深度網(wǎng)絡(luò)安全防護(hù)必不可少。入侵通常使用可預(yù)測(cè)的攻擊載體：標(biāo)頭格式錯(cuò)誤的惡意HTTP請(qǐng)求，或包含在可擴(kuò)展標(biāo)記語(yǔ)言(XML)對(duì)象中的可執(zhí)行shell命令。基于DPI的七層檢測(cè)能夠?qū)ふ也l(fā)現(xiàn)這些攻擊方式。針對(duì)每一次Pod連鑒于容器和Kubernetes網(wǎng)絡(luò)連接模型的動(dòng)態(tài)性質(zhì)，傳統(tǒng)的網(wǎng)絡(luò)可見性、取證和分析工具均無(wú)法使用。為調(diào)試應(yīng)用程序或調(diào)查安全防護(hù)事件進(jìn)行的抓包等任務(wù)也不再簡(jiǎn)單。需要Kubernetes和具有容器意識(shí)的工具來(lái)執(zhí)行網(wǎng)絡(luò)安全防護(hù)、檢查和取證任務(wù)。網(wǎng)絡(luò)攻擊者經(jīng)常使用特權(quán)升級(jí)和惡意進(jìn)程來(lái)發(fā)起攻擊或擴(kuò)散。針對(duì)Linux內(nèi)核漏洞（DirtyCow）檢查容器進(jìn)程和文件系統(tǒng)活動(dòng)以及檢測(cè)可疑行為是容器安全防護(hù)的重要組成部分。端口掃描和反向shell或特權(quán)升級(jí)等可疑進(jìn)程都應(yīng)被檢測(cè)出來(lái)。應(yīng)當(dāng)將內(nèi)置檢測(cè)與基準(zhǔn)行為學(xué)習(xí)流程相結(jié)合，從而基于以往的活動(dòng)發(fā)現(xiàn)反常進(jìn)程。如果容器化應(yīng)用程序采用的是微服務(wù)設(shè)計(jì)原則，即容器中的每個(gè)應(yīng)用程序都具備少量功能，并且僅使用必須的數(shù)據(jù)包和庫(kù)來(lái)構(gòu)建容器，則將大大簡(jiǎn)化對(duì)可疑進(jìn)程和文件系統(tǒng)活動(dòng)的檢測(cè)，并提高準(zhǔn)確度。如果運(yùn)行容器的主機(jī)（Kubernetes工作節(jié)點(diǎn)）被入侵，可能導(dǎo)致一系列不良后果，包括：root特權(quán)升主機(jī)資源被破壞或劫持（例如挖礦軟件API服務(wù)器或Docker對(duì)于容器來(lái)說(shuō)，需要對(duì)主機(jī)系統(tǒng)中的這些可疑活動(dòng)進(jìn)行監(jiān)控。因?yàn)槿萜髂芟裰鳈C(jī)一樣運(yùn)行操作系統(tǒng)和應(yīng)用程序，所以監(jiān)控容器進(jìn)程和文件系統(tǒng)活動(dòng)需要與監(jiān)控主機(jī)相同的安全防護(hù)功能。將網(wǎng)絡(luò)檢查、容器檢查和主機(jī)安全防護(hù)相結(jié)合是通過(guò)多種威脅載體檢測(cè)殺傷鏈的最佳方法。Kubernetes系統(tǒng)和資源如果得不到保護(hù)，Kubernetes等編排工具和基于其構(gòu)建的管理平臺(tái)都將面臨攻擊威脅。這會(huì)導(dǎo)致容器部署暴露此前不存在的新潛在攻擊面，從而難以抵御黑客的入侵。\hTesla\h以及\hKubelet\h被攻擊事件為新技術(shù)在未來(lái)陷入攻擊和更新補(bǔ)丁反復(fù)拉鋸的循環(huán)拉開了序幕。為了幫助Kubernetes和管理平臺(tái)抵御攻擊，針對(duì)系統(tǒng)資源妥善配置RBAC非常重要。為確保護(hù)API服務(wù)器。為API服務(wù)器配置RBAC或手動(dòng)創(chuàng)建防火墻規(guī)則，杜絕未經(jīng)授權(quán)的限制KUBELET權(quán)限。為Kubelets配置RBAC并管理證書輪換，保護(hù)Kubelet安對(duì)所有外部端口要求身份驗(yàn)證。 總地來(lái)說(shuō)，應(yīng)仔細(xì)審核所有基于角色的訪問(wèn)權(quán)限控制。例如，應(yīng)審核具有集群管理員角色的服務(wù)帳戶，并限制其僅可訪問(wèn)必要位置。Kubernetes部署基礎(chǔ)設(shè)施抵御攻擊。不過(guò)也建議使用監(jiān)控工具來(lái)追蹤對(duì)基礎(chǔ)設(shè)施服務(wù)的訪問(wèn)，以檢測(cè)未經(jīng)授權(quán)的連接嘗試和潛在攻擊。以TeslaKubernetes控制臺(tái)遭到的攻擊為例，一旦工作節(jié)點(diǎn)的訪問(wèn)權(quán)限被攻陷，黑客即可創(chuàng)建與中國(guó)的外部連接，用于控制挖礦軟件。對(duì)容器、主機(jī)、網(wǎng)絡(luò)和系統(tǒng)資源實(shí)施基于策略的實(shí)時(shí)監(jiān)控能夠檢測(cè)到可疑進(jìn)程和未經(jīng)授權(quán)的外部連接。Kubernetes隨著Kubernetes等容器技術(shù)和工具的快速發(fā)展，企業(yè)將不斷對(duì)容器環(huán)境進(jìn)行更新、升級(jí)和遷移。運(yùn)行一系列專為Kubernetes環(huán)境設(shè)計(jì)的安全測(cè)試將確保安全防護(hù)不會(huì)在每次更改后業(yè)向容器遷移，基礎(chǔ)設(shè)施、工具和拓?fù)涞淖兓部赡苄枰獙?duì)PCI好在針對(duì)Kubernetes和Docker環(huán)境，可通過(guò)Kubernetes和DockerBench測(cè)試的CIS基準(zhǔn)執(zhí)行一系列全面的安全態(tài)勢(shì)檢查。應(yīng)將定期運(yùn)行這些測(cè)試和確認(rèn)預(yù)計(jì)結(jié)果的流程自Kubernetes安全DockerRBAC此外，鏡像掃描應(yīng)包含與鏡像安全防護(hù)相關(guān)的CIS基準(zhǔn)測(cè)試。其他鏡像合規(guī)測(cè)試也能檢查鏡像是否存在嵌入式機(jī)密和文件訪問(wèn)(setuid/setgid)違規(guī)。注冊(cè)表和生產(chǎn)中的鏡像和容器漏洞掃描也是防御已知攻擊和滿足合規(guī)性的核心組成部分。掃描可以整合到構(gòu)建流程和CI/CD在生產(chǎn)中，應(yīng)當(dāng)對(duì)運(yùn)行的容器和主機(jī)定期進(jìn)行漏洞掃描。但漏洞掃描不足以提供容器運(yùn)行時(shí)部署所需的多個(gè)安全防護(hù)載體。編排和容器管理工具雖然具備基本的RBAC和基礎(chǔ)設(shè)施安全防護(hù)功能，但它們并非專門的安全防護(hù)工具。關(guān)鍵性的業(yè)務(wù)部署仍然需要專業(yè)的Kubernetes安全防護(hù)工具。具體來(lái)說(shuō)，需要一種安全防護(hù)解決方案，能夠解決涵蓋三種主要安全載體（網(wǎng)絡(luò)、容器和主機(jī)）的安全問(wèn)題。NEUVECTOR是一款高度集成的自動(dòng)化KUBERNETES安全防護(hù)解決方案，具節(jié)點(diǎn)服務(wù)節(jié)點(diǎn)節(jié)點(diǎn)服務(wù)通過(guò)CIS安全基準(zhǔn)滿足合規(guī)性和審計(jì)NeuVector解決方案本身就是一個(gè)容器，KubernetesOpenShift、SUSERancher、DockerEE、IBMCloud、SUSECaaS、EKS等任何其他編排系統(tǒng)進(jìn)行部署和更新。NeuVector可將安全防護(hù)的起點(diǎn)左移至CI/CD生產(chǎn)線構(gòu)建階段。容器鏡像構(gòu)建能夠觸發(fā)漏洞掃描，并將在發(fā)現(xiàn)重大漏洞時(shí)放棄構(gòu)建?？梢砸箝_發(fā)者在修復(fù)這些漏洞之后才能準(zhǔn)許鏡像通過(guò)構(gòu)建階段，并存儲(chǔ)在經(jīng)過(guò)審核的注冊(cè)表中。NeuVectorJenkins、CircleCI、AzureDevOpsGitlab等所有常見的生產(chǎn)線工具，并且還為任何其他使用中的構(gòu)建工具提供了RESTAP。NeuVector會(huì)持續(xù)掃描已審核的注冊(cè)表中的鏡像是否存在新的漏洞。在構(gòu)建階段或注冊(cè)表鏡像掃描過(guò)程中，除了提供分層掃描結(jié)果，還會(huì)針對(duì)CIS基準(zhǔn)、檢測(cè)到的機(jī)密和文件訪問(wèn)權(quán)限違規(guī)運(yùn)行額外的合規(guī)性檢查。（包括PCI、HIPAA、GDPR、NIST等），以及報(bào)告漏洞修復(fù)進(jìn)展在將NeuVector部署到各個(gè)工作節(jié)點(diǎn)之后，容器網(wǎng)絡(luò)連接和服務(wù)依存關(guān)系將一目了然。隔離和保護(hù)Kubernetes部署的安全防護(hù)策略將自動(dòng)創(chuàng)建。NeuVector如何為KubernetesNeuVector能夠自動(dòng)發(fā)現(xiàn)和可視化運(yùn)行中的Pod及無(wú)論針對(duì)容器的攻擊來(lái)自內(nèi)部還是外部，NeuVector都能夠檢測(cè)和攔截。r火墻可在監(jiān)控（網(wǎng)絡(luò)tap）模式下運(yùn)行，也可運(yùn)行保護(hù)（內(nèi)聯(lián)）KubernetesPodNeuVector借助內(nèi)置的端口掃描和反向shell等可疑進(jìn)程檢測(cè)功能，能夠檢測(cè)出任何容器中的反?；顒?dòng)。此外，各容器中正在運(yùn)行的進(jìn)程都將被用來(lái)制定基準(zhǔn)，為檢測(cè)未經(jīng)授權(quán)的或惡意的進(jìn)程提供協(xié)助。NeuVector還將監(jiān)控容器文件系統(tǒng)中的可疑活動(dòng)。例如，在安裝或更新數(shù)據(jù)包或庫(kù)時(shí)，NeuVector將自動(dòng)觸發(fā)漏洞掃描，并生成告警。NeuVector會(huì)監(jiān)控主機(jī)系統(tǒng)中的特權(quán)升級(jí)等攻擊。在容器中檢測(cè)出的可疑進(jìn)程在主機(jī)上運(yùn)行時(shí)也將被檢測(cè)。例如，NeuVector能夠檢測(cè)到端口掃描或反向shell進(jìn)程開始運(yùn)行，并發(fā)出告警。而且，NeuVector還能夠?qū)W習(xí)已允許在主機(jī)上運(yùn)行的進(jìn)程并建立白名單，并攔截任何嘗試啟動(dòng)的未經(jīng)授權(quán)的主機(jī)進(jìn)程。NeuVector也會(huì)監(jiān)控系統(tǒng)容器以及各容器的網(wǎng)絡(luò)活動(dòng)。Kubernetes和OpenShift網(wǎng)絡(luò)連接如下圖所示。NeuVector會(huì)自動(dòng)掃描運(yùn)行中的Pod、容器和工作節(jié)點(diǎn)的漏洞，并在各個(gè)節(jié)點(diǎn)上運(yùn)行KubernetesCIS基準(zhǔn)測(cè)試，還將對(duì)系統(tǒng)容器和編排平臺(tái)（例如Kubernetes1.19）進(jìn)行漏洞掃描。NeuVector還可在構(gòu)建和交付階段（檢查鏡像注冊(cè)表）以及在CI/CD自動(dòng)化生產(chǎn)線中執(zhí)行漏洞掃描，并提供Jenkins集成，從而能夠在鏡像構(gòu)建過(guò)程中進(jìn)行掃描。Kubernetes安全防護(hù)自動(dòng)化——隨著DevOps團(tuán)隊(duì)向容器和Kubernetes的應(yīng)用程序自動(dòng)化部署全速前進(jìn)，安全防護(hù)自動(dòng)化勢(shì)在必行?，F(xiàn)在的安全防護(hù)團(tuán)隊(duì)已經(jīng)今非昔比，再也不可能隨時(shí)叫?；蚍啪彂?yīng)用程序、基礎(chǔ)設(shè)施或者在新云上的部署。安全防護(hù)自動(dòng)化首先要為運(yùn)行中的容器創(chuàng)建安全的基礎(chǔ)設(shè)施和平臺(tái)，之后是自動(dòng)化運(yùn)行時(shí)安全防護(hù)。利用Terraform等基礎(chǔ)設(shè)施即代碼概念和工具可確保獲得具有可重復(fù)安全配置的安全基礎(chǔ)設(shè)施。通過(guò)將行為學(xué)習(xí)和Kubernetes與自定義資源定義(CRD)相結(jié)合實(shí)現(xiàn)的\h安全即代碼，多數(shù)運(yùn)行時(shí)安全防護(hù)都能實(shí)現(xiàn)自動(dòng)化。最初可能始終需要一些手動(dòng)設(shè)置或自定義，但當(dāng)開啟生產(chǎn)開KubernetesPod時(shí)，安全防護(hù)即可自動(dòng)化進(jìn)行，并能隨著部署的情況進(jìn)行調(diào)整和擴(kuò)展。安全即代碼運(yùn)行截安全即代碼運(yùn)行截 Kubernetesyaml√√√√√√進(jìn)出、DLP√RBAC√Kubernetes執(zhí)行CRD√支持開放策略代理(OPA)NeuVectorKubernetes全防護(hù)。將Kubernetes容器防火墻與容器檢查和主機(jī)安全防護(hù)相結(jié)合，能夠檢測(cè)和阻止殺傷鏈中的破壞性攻擊活動(dòng)。憑借先進(jìn)的公有云架構(gòu)，NeuVector能夠以容器形式在鄰近應(yīng)用程序容器的位置輕松完成自身部署，提供始終開啟和持續(xù)運(yùn)行的安全防護(hù)。由于容器化應(yīng)用程序的聲明式特點(diǎn)，以及Kubernetes等工具的豐富集成選擇，即使在高度動(dòng)態(tài)化的容器環(huán)境中也可以執(zhí)行高級(jí)安全控制。通過(guò)與Kubernetes集成，并整合多項(xiàng)行為學(xué)習(xí)和多載體安全防護(hù)功能，可以實(shí)現(xiàn)\h整個(gè)\h生產(chǎn)線的安全防護(hù)自動(dòng)化，從而滿足關(guān)鍵性Kubernetes業(yè)務(wù)部署的迫切需求。對(duì)于容器基礎(chǔ)設(shè)施來(lái)說(shuō)，滿足行業(yè)標(biāo)準(zhǔn)的合規(guī)性要求并非易事。這些新的虛擬化層還未經(jīng)過(guò)審計(jì)人員和合規(guī)顧問(wèn)審查，在合規(guī)性要求方面尚未達(dá)成共識(shí)。NeuVector能夠助力達(dá)成\hPCI、\hGDPR、\hSOC2、HIPAA和\hNIST等標(biāo)準(zhǔn)的合規(guī)性要求，遵循網(wǎng)絡(luò)分段和建立防火墻。憑借專門設(shè)計(jì)用于容器和Kubernetes網(wǎng)絡(luò)篩選及保護(hù)的七層容器防火墻，NeuVector堪稱滿足這項(xiàng)要求的絕佳選擇。漏洞掃描和修復(fù)。通過(guò)端到端漏洞管理，NeuVector可在從構(gòu)建階段到生產(chǎn)的整個(gè)審核配置測(cè)試。通過(guò)KubernetesCIS基準(zhǔn)等合規(guī)性檢查來(lái)審查和執(zhí)行系統(tǒng)（主機(jī)限制訪問(wèn)權(quán)限控制。評(píng)估和授予所需的最低級(jí)別用戶訪問(wèn)特權(quán)能夠降低發(fā)生RBAC攻加密和敏感數(shù)據(jù)保護(hù)。NeuVector可確保流動(dòng)數(shù)據(jù)的連接加密，甚至能使用DLP技NeuVector可針對(duì)容器部署的PCI、GDPR、HIPAA和NIST合規(guī)性提供可自定義的預(yù)配NeuVector通過(guò)將可自定義的合規(guī)性報(bào)告、端到端漏洞管理、防火墻構(gòu)建和網(wǎng)絡(luò)分段以及合規(guī)性測(cè)試相結(jié)合，成功幫助眾多企業(yè)的全新云原生基礎(chǔ)設(shè)施和工作負(fù)載達(dá)成了合規(guī)性要求，涵蓋從PCI和GDP，到服務(wù)組織控制(SOC)2類審計(jì)等多項(xiàng)標(biāo)準(zhǔn)。SOC2是一項(xiàng)審計(jì)規(guī)程，旨在確保服務(wù)提供商（應(yīng)用程序）以安全的方式管理數(shù)據(jù)，從而保護(hù)組織的利益及其用戶的隱私。對(duì)于注重安全性的企業(yè)而言，在考慮SaaS提供商時(shí)，滿足SOC2合規(guī)性是最起碼的要求。所有在云端存儲(chǔ)客戶信息的互動(dòng)式技術(shù)服務(wù)組織都必須滿足SOC2合規(guī)性。這類企業(yè)會(huì)在提供SaaS和其他云服務(wù)期間使用云來(lái)存儲(chǔ)相應(yīng)的互動(dòng)客戶NeuVector