最近の数年間で、Kubernetesの安定性はどのように進歩しましたか?
公開: 2022-01-20
Kubernetesの安全性は新しい数十年でどのように発展しましたか?
Kubernetesの採用には前例のない進展があり、パンデミックの直接の結果として、実質的に70%の企業がその使用を拡大しています。 その結果、組織のセキュリティがかつてないほど困難になり、2つの複雑さと死角が増大します。
保護グループは、実際には個々の単一のKubernetesプロジェクトを可視化することができないため、開発者が取り組んでいる速度ですべてを保護することはほとんど不可能です。
困難を生み出しているのは、Kubernetesの評判の高まりだけではありません。 クラウドネイティブアーキテクチャの動的な性質も状況です。 簡単に言うと、61%の企業が、クラウド環境は1分ごとに変化していると述べており、事実上3番目は、少なくとも2番目の時間に調整していると述べています。 このすべての変革により、マイクロサービス、コンテナ、デジタルマシンなど、さまざまな新しいデバイスとそれに対応するデバイスIDが飛躍的に増加しています。 機器IDは、システムが暗号化された方法で相互に通信するために使用する証明書とキーであり、データをリスクのない状態に保ち、保護します。
これらの目的のほとんどは数秒で上下に回転しますが、それでもIDが必要であり、ライフサイクル全体で管理する必要があります。 これは難しいところです。 現在、企業は、クラウド企業の効果的な手順に必要なペースと規模で、これらすべてのIDを発行および処理することが困難になっています。 それにもかかわらず、これは、マシンIDの管理ミスにより、セキュリティ上の落とし穴とアプリケーションの停止を引き起こしています。 これは通常、ネットワーク上に孤立したマシンIDが多数残っていることを意味し、これらはすべて固有のセキュリティリスクをもたらします。
直前よりもはるかに多くの攻撃がありますか、それともKubernetesを非常に正確にターゲットにしているのを観察しているだけですか?
これまで以上に多くの企業がKubernetesを適用しているため、ハッカーはKubernetesを新しい軽量で見るようになっています。 つまり、以前よりも多くの攻撃が発生しているだけでなく、サイバー犯罪者が金銭的利益の新しい代替手段を見つけているということです。 現在、過去数か月の間に、誤って構成されたKubernetesクラスターの利点を利用してサイバー犯罪ギャングのスタッフTNTを目撃しました。 最初のエントリを取得した後、Hildegardと呼ばれるマルウェアは、cryptominerを展開する直前に、安全でないSSHキーやその他のマシンIDを使用することで、コンテナの上位にアクセスできるようになりました。
もう1つの攻撃は、悪意のあるAzureの人々が、Microsoftの支援としてのコンテナーの提供の範囲内で他の顧客のクラウドの機会を回避できることに気づきました。 この「Azurescape」の侵入は、攻撃者がKubernetesを使用してデリケートな情報を盗んだり、暗号マイニングを許可したり、危険なコードを実行したりする方法を示す別の例です。 クラウド開発者はKubernetesを十分に理解していますが、個々の孤立したクラウドの機会ごとに堅牢な安定性制御を実装する立場にいることは物理的に不可能です。 ハッカーはこれを知らされ、技術と攻撃手順を進化させることによってそれを非常にうまく利用します。 FundsAの人やDockerが注目を集める違反を経験しているのはこれです。
Kubernetesがはるかに受け入れられるようになるにつれて、さまざまな攻撃が増えると予想されます。 もちろん、企業がKubernetes環境の防御にさらに活発な役割を果たし始めない限り、それはそうです。
企業がKubernetesデプロイメント内で頻繁に発生するエラーは何ですか?
Kubernetesをデプロイするために不可欠な使いやすさと基本的な手順は、その多くの長所の1つです。 そうは言っても、これはまた、企業によって作成された最も一般的な失敗の1つを引き起こします。 かなりの数がKubernetesのデフォルトオプションに大きく依存しています。これにより、これらのオプションは本質的に保護されていなくても、新しいアプリを迅速にデプロイできます。 たとえば、ネットワークガイドラインでは、すべてのアプリが制約なしに相互に通信できることを示しています。 一方、目的は、信頼できないソースから到着したかどうかに関係なく、実行可能コードを含むさまざまな静的ファイルである任意のコンテナイメージを使用することもできます。 この過度の依存は、サイバー犯罪者が大幅に利用している脆弱性のホスト全体に企業を開放しています。
Kubernetesに到着したときに、別の人気のあるスリップアップビジネスが構築されているのは、デバイスIDの構成と管理の誤りです。 これは恐ろしい見通しであり、これらのIDは短い時間の後に期限切れになり、目的の間で転送中の事実を保護するために重要です。 これらが誤って構成されたり忘れられたりした場合、ハッカーがそれらのIDを盗んだり偽造したりして、攻撃を実行するためにそれらを使用することは可能です。 これにより、重大なワークロードが失敗する可能性があるだけでなく、デリケートな情報や事実が見当違いになる可能性があり、完全なネットワークを超えようとしている攻撃者に対して、さらに高度な制御を提供できます。
これは、クラウドの動的な特性と相まってマシンIDの急増が、ガイド管理が単純に達成できないことを示唆していると考える場合に強調されます。 同時に、新しいIDの一貫した改善は、ビルダーが保護の期待に照らしてテストするための品質管理を利用せずに、はるかに多くの追加プログラムを構築するにつれて、安全ホールが定期的に開いていることを示唆しています。
さらに、組織は所有の安定性について説明責任を果たせていません。 彼らは、セキュリティの最も効果的な演習にはるかによく準拠し、安全が最初から理想的な優先事項として作成されているDevSecOps社会を受け入れる必要があります。 これを怠ると、企業はトラブルに巻き込まれます。 デジタルプロバイダーの必要性が高まるにつれ、ビルダーは一貫して、セクターへの時間をペースアップするための構築と革新に集中しています。 代わりに、Kubernetesデプロイメントのセキュリティグループとの連携を改善して、発生する可能性のある問題がないか保護および監視し続ける必要があります。
企業は、Kubernetesインフラストラクチャを攻撃者から安全かつ健全に保つために、どのような手順を積極的に講じることができますか?
Canonicalの調査によると、2つの企業の1人以上が、プロパティ内のKubernetes機能の不足に悩まされています。 このエスカレートするスキルホールを処理するために組織が実行できる1つのアクションは、専門家と協力して、Kubernetesインフラストラクチャの処理方法についてスタッフを教育およびスキルアップすることです。 同時に、企業はクラウドの成熟度を高めて、すべての課題と脅威を軽減する方法を確実に認識できるようにする必要があります。 成長チームは自由に使える機器に熱心であり、クラウド固有のアプリを一定の割合で作成することに専念していますが、セキュリティグループは依然として維持するために戦っています。
それにもかかわらず、クラウドの成熟度を高めることは簡単な仕事ではありません。 クラウドネイティブテクノロジーは新しく、ほとんどの組織はそれらの認識と経験を制限しています。 そのため、企業は、重要な機能、プロセス、および機器を提供して、迅速で保護されたクラウドネイティブ開発を支援できるコンパニオンと協力することが非常に重要です。
企業は自動化システムも採用する必要があります。 これは、マシンIDの発行、構成、および管理の自動化で構成されているため、開発者は、展開先のインフラストラクチャのセキュリティや整合性についてストレスを感じることなく、新しいアプリケーションを展開できます。
自動化により、過度に伸びた従業員の従業員が緊張をほぐすことができます。 その代わりに、彼らはビジネスに利益をもたらすことに時間とエネルギーを集中させることができます。 これにより、特定の深刻な時間の可視性、安全基準の順守、および保護リスクにリアルタイムで対応する機能が実現します。
ゼロは、Kubernetesの進行中の防御に参加することを信頼していますか?
ゼロリオンは、Kubernetesの継続的なセキュリティに参加するためのますます重要な位置を占めるようになります。 非常に多くの状況とビジネスワークロードが増加しているため、これらすべての人の機器IDを処理し、手順内のすべてのソフトウェアと人を検証するための設備を整えることは不可能になりつつあります。 これは、一部のコンテナが数秒で上下に回転する場合に特に当てはまります。
したがって、ゼロ信念手法を実行する必要があります。これにより、すべてのアプリケーションが常に検証および認証される必要があると想定されます。
これがクラウド固有の環境内で仕事をするためには、マシンIDが基本的な位置を獲得することで、ワークロードの程度で信頼を強制する必要があります。 自動化は、これらのIDを処理するために不可欠であり、最新の開発と大規模な組織化の目的に必要な規模に対応できる料金で、戦術に依存することはありません。
チンタンベルチャンバー、アイテムマネージャー、ジェットスタック