Como a estabilidade do Kubernetes progrediu nos últimos anos?
Publicados: 2022-01-20
Como a segurança do Kubernetes se desenvolveu nas novas décadas?
Houve um desenvolvimento sem precedentes na adoção do Kubernetes, com praticamente 70% das empresas expandindo seu uso como resultado direto da pandemia. Isso faz com que a segurança da organização seja desafiada como nunca antes, aumentando a complexidade e os pontos cegos.
Os grupos de proteção realmente não têm visibilidade de cada projeto individual do Kubernetes, tornando praticamente impossível protegê-los todos na velocidade em que os desenvolvedores estão trabalhando.
Não é apenas a crescente reputação do Kubernetes que está criando uma dificuldade. A natureza dinâmica da arquitetura nativa da nuvem também é uma situação. Na verdade, 61 por cento das empresas dizem que seus ambientes de nuvem estão mudando a cada minuto ou menos, e praticamente um terço diz que eles se ajustam pelo menos uma vez por segundo. Toda essa transformação está gerando um aumento exponencial na variedade de novos dispositivos e identidades de dispositivos correspondentes – sejam eles microsserviços, contêineres ou máquinas digitais. As identidades dos equipamentos são os certificados e chaves que os sistemas usam para se comunicarem de maneira criptografada, mantendo os dados protegidos e livres de riscos.
Embora a maioria desses propósitos seja girada para cima e para baixo em questão de segundos, eles ainda precisam de um id, que deve ser gerenciado durante todo o seu ciclo de vida. É aqui que fica difícil. As empresas agora estão tendo dificuldades para emitir e lidar com todas essas identidades no ritmo e na escala necessários para o procedimento eficaz das empresas de nuvem. No entanto, isso está criando armadilhas de segurança extras e interrupções de aplicativos devido ao mau gerenciamento de identidades de máquina. Isso também geralmente significa que há muitas identidades de máquinas órfãs nas redes, que representam um risco de segurança inerente.
Existem muito mais ataques do que antes, ou estamos apenas observando com precisão extra visando o Kubernetes?
Com muito mais empresas aplicando o Kubernetes do que nunca, isso está fazendo com que os hackers o vejam em um novo peso leve. Portanto, não é apenas que estamos vendo mais ataques do que antes, é que os cibercriminosos estão identificando novas alternativas para ganhos financeiros. Atualmente, nos meses anteriores, testemunhamos a gangue de crimes cibernéticos Staff TNT usando a vantagem de clusters Kubernetes mal configurados. Depois de obter a primeira entrada, seu malware, apelidado de Hildegard, foi equipado para acessar números mais altos de contêineres, criando o uso de chaves SSH inseguras e outras identidades de máquina antes de implantar um criptominerador.
Mais um ataque notou que as pessoas mal-intencionadas do Azure são capazes de contornar as ocasiões de nuvem de outros clientes apenas com o fornecimento de contêiner como assistência da Microsoft. Essa infiltração do 'Azurescape' é uma ilustração diferente de como os invasores podem usar o Kubernetes para roubar informações delicadas, permitir mineração de criptografia ou executar códigos perigosos. Embora os desenvolvedores de nuvem tenham uma compreensão avançada do Kubernetes, fisicamente não é possível que eles possam implementar controles de estabilidade robustos para cada ocasião individual de nuvem solitária. Os hackers são informados disso e fazem um bom uso disso, evoluindo suas técnicas e procedimentos de ataque. É isso que é visto como Funds A person e Docker experimentando violações de alto perfil.
À medida que o Kubernetes ganha muito mais aceitação, esperamos ver a variedade de ataques aumentar. Isso é claro, a menos que as empresas comecem a ter uma participação mais ativa na defesa de seus ambientes Kubernetes.
Quais são os erros frequentes que as empresas estão criando em suas implantações do Kubernetes?
A facilidade de uso e os procedimentos básicos essenciais para implantar o Kubernetes é um de seus muitos prós. No entanto, isso também causa um dos erros mais comuns cometidos pelas empresas. Alguns dependem muito das opções padrão do Kubernetes, que permitem implantar novos aplicativos rapidamente, mesmo que essas opções não sejam inerentemente protegidas. Por exemplo, as diretrizes de rede implicam que todos os aplicativos podem se comunicar uns com os outros sem restrições. Enquanto isso, os propósitos também podem usar qualquer imagem de contêiner, uma variedade de arquivo estático com código executável, não importa se ele veio de fontes não confiáveis. Essa dependência excessiva está abrindo as empresas para uma série de vulnerabilidades que os cibercriminosos estão fazendo uso significativo.
Um outro deslize popular que as empresas estão construindo quando chega ao Kubernetes é a configuração incorreta e o gerenciamento incorreto das identidades dos dispositivos. Esta é uma perspectiva assustadora, uma vez que essas identidades expiram após um curto período de tempo e são cruciais para proteger os fatos em trânsito entre os fins. Se eles se tornarem mal configurados ou esquecidos, é possível que os hackers roubem ou forjem essas identidades e as usem para realizar ataques. Isso não apenas pode causar falhas significativas em cargas de trabalho, mas informações e fatos delicados podem ser extraviados, e um controle ainda maior pode ser oferecido a um invasor que tente encontrar apenas uma rede completa.
Isso é estressante quando você acredita que uma explosão nas identidades das máquinas, juntamente com o caráter dinâmico da nuvem, sugere que o gerenciamento de guias simplesmente não é alcançável. Ao mesmo tempo, a melhoria consistente de novas identidades sugere que as falhas de segurança estão se abrindo regularmente à medida que os construtores constroem muito mais e programas adicionais sem utilizar o gerenciamento de qualidade para testá-los em relação às expectativas de proteção.
Além disso, as organizações estão falhando em obter responsabilidade por sua própria estabilidade. Eles precisarão cumprir muito melhor o exercício mais eficaz de segurança e adotar uma sociedade DevSecOps na qual a segurança seja considerada uma prioridade ideal desde o início. É uma falha em fazer isso que está levando as corporações a terem problemas. Com a crescente necessidade de provedores digitais, os construtores estão consistentemente centrados em apenas construir e inovar para acelerar o tempo para o setor. Em vez disso, eles precisam se alinhar melhor aos grupos de segurança em suas implantações do Kubernetes para garantir que continuem sendo protegidos e monitorados para quaisquer dificuldades que possam surgir.
Que medidas as empresas podem tomar proativamente para manter sua infraestrutura do Kubernetes sã e salva dos invasores?
Investigar da Canonical mostra que muito mais do que uma pessoa em duas empresas é desafiada por uma deficiência de recursos do Kubernetes na propriedade. A primeira ação que as organizações podem tomar para lidar com esse crescente buraco de habilidades é participar com especialistas para educar e aprimorar os membros da equipe sobre como cuidar da infraestrutura do Kubernetes. Ao mesmo tempo, as empresas precisarão acelerar sua maturidade na nuvem para garantir que estejam cientes de todos os desafios e formas de mitigação de ameaças. Embora as equipes de crescimento estejam entusiasmadas com os equipamentos à sua disposição e estejam ocupadas criando aplicativos nativos da nuvem, os grupos de segurança ainda estão lutando para se manter.
No entanto, aumentar a maturidade da nuvem não é uma tarefa simples. As tecnologias nativas da nuvem são novas e a maioria das organizações tem conhecimento e experiência limitados com elas. É por isso que é muito importante que as corporações trabalhem com parceiros que possam fornecer recursos, processos e equipamentos importantes para ajudar no desenvolvimento rápido e protegido nativo da nuvem.
As empresas também precisam adotar sistemas de automação. Isso consiste em automatizar a emissão, configuração e gerenciamento de identidades de máquinas, para que os desenvolvedores possam implantar novos aplicativos sem precisar se preocupar com a segurança ou integridade da infraestrutura em que eles implantam.
A automação garantirá que a tensão seja retirada dos funcionários sobrecarregados. Em seu lugar, eles podem concentrar seu tempo e energia na geração de benefícios para o negócio. Isso garantirá visibilidade em tempo real, aderência aos critérios de segurança e capacidade de reagir aos riscos de proteção em tempo real.
Em qual função o zero acredita participar da defesa contínua do Kubernetes?
A confiança zero terá uma posição cada vez mais importante para participar da segurança contínua do Kubernetes. Com tantas situações e cargas de trabalho de negócios aumentando, será impossível lidar com todas essas identidades de equipamentos de pessoas e estar preparado para validar cada software e pessoa no processo. Isso é particularmente real quando alguns contêineres são girados para cima e para baixo em segundos.
Portanto, uma técnica de crença zero deve ser executada, assumindo que todo e qualquer aplicativo deseja ser verificado e autenticado o tempo todo.
Para que isso funcione dentro dos ambientes nativos da nuvem, a confiança deve ser imposta no nível da carga de trabalho, com as identidades das máquinas adquirindo uma posição fundamental. A automação será vital para cuidar dessas identidades com uma tática de confiança zero a uma taxa que acompanhará o desenvolvimento moderno e a escala desejada para fins de organização de massa.
Chintan Bellchambers, Gerente de Itens, Jetstack