Jak poprawiła się stabilność Kubernetes w ostatnich latach?
Opublikowany: 2022-01-20
Jak rozwinęło się bezpieczeństwo Kubernetes w nowych dekadach?
Nastąpił bezprecedensowy rozwój w adopcji Kubernetes, a praktycznie 70 procent firm rozszerza swoje wykorzystanie w bezpośrednim wyniku pandemii. Powoduje to, że bezpieczeństwo organizacji jest kwestionowane jak nigdy dotąd, co sprawia, że dwie zwiększone złożoności i martwe punkty.
Grupy ochrony naprawdę nie mają widoczności każdego pojedynczego projektu Kubernetes, co powoduje, że zabezpieczenie ich wszystkich z szybkością, z jaką pracują programiści, jest prawie nieosiągalne.
Problemem jest nie tylko rosnąca reputacja Kubernetes. Sytuacją jest również dynamiczny charakter architektury natywnej dla chmury. Mówiąc prościej, 61 procent firm twierdzi, że ich środowiska chmurowe zmieniają się co minutę lub mniej, a praktycznie jedna trzecia twierdzi, że dostosowuje się co najmniej raz na drugą. Cała ta transformacja napędza wykładniczy wzrost różnorodności nowych urządzeń i odpowiadających im tożsamości urządzeń — czy to mikrousług, kontenerów czy maszyn cyfrowych. Tożsamości sprzętu to certyfikaty i klucze, których systemy używają do komunikowania się ze sobą w sposób zaszyfrowany, dzięki czemu dane są wolne od ryzyka i chronione.
Chociaż większość z tych celów będzie się rozwijała w ciągu kilku sekund, niemniej jednak potrzebują identyfikatora, którym należy zarządzać w trakcie pełnego cyklu życia. W tym staje się to trudne. Przedsiębiorstwa mają teraz trudności z wydawaniem i radzeniem z wszystkimi tymi tożsamościami w tempie i skali wymaganej do efektywnej procedury firm w chmurze. Powoduje to jednak dodatkowe pułapki bezpieczeństwa i przerwy w działaniu aplikacji z powodu niewłaściwego zarządzania tożsamościami maszyn. Zwykle oznacza to również, że w sieci pozostało wiele osieroconych tożsamości maszyn, z których wszystkie stanowią nieodłączne zagrożenie bezpieczeństwa.
Czy jest o wiele więcej ataków niż przedtem, czy po prostu obserwujemy wyjątkowo precyzyjne namierzanie Kubernetesa?
Ponieważ znacznie więcej firm korzysta z Kubernetes niż kiedykolwiek wcześniej, hakerzy widzą go w nowym, lekkim wydaniu. Tak więc nie chodzi tylko o to, że obserwujemy więcej ataków niż wcześniej, ale o to, że cyberprzestępcy dostrzegają nowe alternatywy dla zysku finansowego. Obecnie w ciągu ostatnich kilku miesięcy byliśmy świadkami wykorzystywania przez gang cyberprzestępczy Staff TNT źle skonfigurowanych klastrów Kubernetes. Po uzyskaniu pierwszego wpisu ich złośliwe oprogramowanie, nazwane Hildegard, zostało przystosowane do uzyskiwania dostępu do wyższych liczb kontenerów poprzez wykorzystanie niezabezpieczonych kluczy SSH i innych tożsamości maszyn tuż przed wdrożeniem koparki kryptowalut.
Jeszcze jeden atak zauważył złośliwych użytkowników platformy Azure, którzy potrafią po prostu ominąć przypadki chmur innych klientów w ramach usługi kontenera jako pomocy oferowanej przez Microsoft. Ta infiltracja „Azurescape” jest inną ilustracją tego, jak atakujący mogą używać Kubernetes do kradzieży delikatnych informacji, zezwalać na wydobywanie kryptowalut lub wykonywać niebezpieczny kod. Podczas gdy programiści chmury dobrze rozumieją Kubernetes, fizycznie nie jest możliwe, aby byli w stanie wdrożyć solidne kontrole stabilności dla każdej indywidualnej sytuacji w chmurze. Hakerzy są o tym informowani i bardzo dobrze to wykorzystują, rozwijając swoje techniki i procedury ataków. Jest to widoczne w przypadku osób takich jak Funds A i Docker, które doświadczają głośnych naruszeń.
Ponieważ Kubernetes zyskuje znacznie większą akceptację, spodziewamy się wzrostu różnorodności ataków. O ile oczywiście firmy nie zaczną brać dodatkowego aktywnego udziału w obronie swoich środowisk Kubernetes.
Jakie są częste błędy, które przedsiębiorstwa tworzą w swoich wdrożeniach Kubernetes?
Łatwość użycia i podstawowe procedury niezbędne do wdrożenia Kubernetes to jedna z wielu jego zalet. To powiedziawszy, powoduje to również jeden z najczęstszych błędów popełnianych przez firmy. Wiele z nich w dużym stopniu polega na domyślnych opcjach Kubernetes, które pozwalają szybko wdrażać nowe aplikacje, nawet jeśli te opcje nie są z natury chronione. Na przykład wytyczne dotyczące sieci sugerują, że wszystkie aplikacje mogą komunikować się ze sobą bez ograniczeń. Tymczasem do celów można również wykorzystać dowolny obraz kontenera, różne statyczne pliki z kodem wykonywalnym, bez względu na to, czy pochodzą one z niezaufanych źródeł. To nadmierne poleganie na otwieraniu przedsiębiorstw na cały szereg luk, które cyberprzestępcy w znacznym stopniu wykorzystują.
Inną popularną wpadką, jaką firmy popełniają, gdy docierają do Kubernetes, jest błędna konfiguracja i niewłaściwe zarządzanie tożsamościami urządzeń. Jest to przerażająca perspektywa, oferowana, że te tożsamości wygasają po krótkim czasie i mają kluczowe znaczenie dla ochrony faktów w tranzycie między celami. Jeśli zostaną one źle skonfigurowane lub zapomniane, hakerzy mogą ukraść lub sfałszować te tożsamości i wykorzystać je do przeprowadzenia ataków. Mogłoby to nie tylko doprowadzić do niepowodzenia znacznych obciążeń, ale także spowodować nieprawidłowe umieszczenie delikatnych informacji i faktów, a nawet większą kontrolę można zapewnić osobie atakującej, która próbuje znaleźć przejęcie nad całą siecią.
To stresujące, gdy uważasz, że eksplozja tożsamości maszyn w połączeniu z dynamicznym charakterem chmury sugeruje, że zarządzanie przewodnikami jest po prostu nieosiągalne. Jednocześnie konsekwentne ulepszanie nowych tożsamości sugeruje, że regularnie otwierają się luki bezpieczeństwa, ponieważ twórcy budują znacznie więcej i dodatkowe programy bez wykorzystywania zarządzania jakością w celu przetestowania ich pod kątem oczekiwań w zakresie ochrony.
Ponadto organizacje nie biorą odpowiedzialności za swoją stabilność. Będą musieli znacznie lepiej przestrzegać najskuteczniejszych działań w zakresie bezpieczeństwa i przyjąć społeczeństwo DevSecOps, w którym bezpieczeństwo jest od samego początku priorytetem. To niepowodzenie w robieniu tego sprawia, że korporacje popadają w kłopoty. Wraz z rosnącym zapotrzebowaniem na dostawców cyfrowych, budowniczowie są konsekwentnie skoncentrowani na konstruowaniu i wprowadzaniu innowacji, aby nadążać za rozwojem sektora. Zamiast tego muszą poprawić dopasowanie do grup zabezpieczeń w swoich wdrożeniach Kubernetes, aby zapewnić sobie ochronę i monitorowanie pod kątem wszelkich trudności, które mogą się pojawić.
Jakie kroki mogą proaktywnie podjąć korporacje, aby chronić swoją infrastrukturę Kubernetes przed atakami?
Badania z firmy Canonical pokazują, że znacznie więcej niż osoba w dwóch korporacjach ma problemy z brakiem możliwości Kubernetesa. Jednym z działań, które organizacje mogą po prostu podjąć, aby poradzić sobie z tą rosnącą luką w umiejętnościach, jest uczestnictwo z ekspertami w celu edukowania i podnoszenia umiejętności pracowników w zakresie dbania o infrastrukturę Kubernetes. Jednocześnie korporacje będą musiały przyspieszyć swoją dojrzałość w chmurze, aby upewnić się, że są świadome wszystkich wyzwań i sposobów ograniczania zagrożeń. Mimo że zespoły ds. rozwoju są entuzjastycznie nastawione do sprzętu, który mają do dyspozycji i są zajęte tworzeniem aplikacji lokalnych dla chmury, grupy bezpieczeństwa wciąż walczą o utrzymanie.
Niemniej jednak zwiększenie dojrzałości chmury nie jest prostym zadaniem. Technologie natywne dla chmury są nowe, a większość organizacji ma ograniczoną świadomość i doświadczenie z nimi związane. Dlatego bardzo ważne jest, aby korporacje współpracowały z towarzyszami, którzy mogą zapewnić ważne możliwości, procesy i sprzęt, aby pomóc w szybkim, chronionym rozwoju natywnym w chmurze.
Firmy muszą również uwzględniać systemy automatyzacji. Obejmuje to zautomatyzowanie wydawania, konfiguracji i zarządzania tożsamościami maszyn, dzięki czemu programiści mogą wdrażać nowe aplikacje bez stresu związanego z bezpieczeństwem lub integralnością infrastruktury, w której wdrażają.
Automatyzacja zapewni brak napięcia wśród przeciążonych pracowników współpracowników. Zamiast tego mogą skoncentrować swój czas i energię na dostarczaniu korzyści firmie. Zapewni to pewną widoczność w czasie poważnym, przestrzeganie kryteriów bezpieczeństwa oraz zdolność do reagowania na zagrożenia związane z ochroną w czasie rzeczywistym.
W jaką funkcję wierzy zero udział w ciągłej obronie Kubernetes?
Zero-rely on będzie mieć coraz ważniejszą pozycję do uczestniczenia w ciągłym bezpieczeństwie Kubernetes. Przy tak wielu sytuacjach i narastających obciążeniach biznesowych niemożliwe będzie zarządzanie tożsamościami wszystkich tych urządzeń i przygotowanie do walidacji każdego oprogramowania i osoby biorącej udział w procedurze. Jest to szczególnie realne, gdy niektóre pojemniki będą obracane w górę i w dół w ciągu kilku sekund.
Dlatego należy zastosować technikę zerowej wiary, zgodnie z którą zakłada się, że każda aplikacja chce być cały czas weryfikowana i uwierzytelniana.
Aby można było wykonać tę pracę w rodzimych środowiskach chmury, należy wymusić zaufanie na poziomie obciążenia pracą, a tożsamości maszyn uzyskują fundamentalną pozycję. Automatyzacja będzie miała kluczowe znaczenie dla dbania o te tożsamości z zerową taktyką za opłatą, która będzie nadążać za nowoczesnym rozwojem i skalą pożądaną dla celów organizacji masowej.
Chintan Bellchambers, kierownik przedmiotów, Jetstack