ความเสถียรของ Kubernetes ก้าวหน้าไปเพียงใดในช่วงไม่กี่ปีที่ผ่านมา
เผยแพร่แล้ว: 2022-01-20
ความปลอดภัยของ Kubernetes พัฒนาขึ้นในทศวรรษใหม่อย่างไร?
มีการพัฒนาที่ไม่เคยเกิดขึ้นมาก่อนในการนำ Kubernetes มาใช้ โดยเกือบร้อยละ 70 ของธุรกิจขยายการใช้งานอันเป็นผลโดยตรงจากการระบาดใหญ่ ส่งผลให้ระบบรักษาความปลอดภัยขององค์กรถูกท้าทายอย่างที่ไม่เคยเป็นมาก่อน ทำให้ทั้งสองเพิ่มความซับซ้อนและจุดบอด
กลุ่มคุ้มครองไม่มีการมองเห็นโครงการ Kubernetes แต่ละโครงการจริงๆ ทำให้ไม่สามารถรักษาความปลอดภัยได้ทั้งหมดด้วยความเร็วที่นักพัฒนาซอฟต์แวร์กำลังทำงานอยู่
ไม่ใช่แค่ชื่อเสียงที่เพิ่มขึ้นของ Kubernetes เท่านั้นที่สร้างปัญหา ลักษณะไดนามิกของสถาปัตยกรรมแบบ cloud-native ก็เป็นสถานการณ์เช่นกัน ในความเป็นจริง 61% ของบริษัทกล่าวว่าสภาพแวดล้อมระบบคลาวด์ของพวกเขากำลังเปลี่ยนแปลงทุกนาทีหรือน้อยกว่า และอันดับที่ 3 กล่าวว่าพวกเขาปรับอย่างน้อยที่สุด ณ เวลาที่สอง การเปลี่ยนแปลงทั้งหมดนี้กำลังผลักดันให้อุปกรณ์ใหม่ๆ ที่หลากหลายและข้อมูลประจำตัวอุปกรณ์ที่เกี่ยวข้องเพิ่มขึ้นอย่างทวีคูณ ไม่ว่าจะเป็นไมโครเซอร์วิส คอนเทนเนอร์ หรือเครื่องดิจิทัล ข้อมูลประจำตัวของอุปกรณ์คือใบรับรองและคีย์ที่ระบบใช้ในการพูดคุยกับทุกๆ คนในรูปแบบการเข้ารหัส ทำให้ข้อมูลปราศจากความเสี่ยงและได้รับการปกป้อง
แม้ว่าจุดประสงค์ส่วนใหญ่จะหมุนขึ้นและลงในวินาทีที่ต่างกัน แต่ก็ยังต้องการ ID ซึ่งต้องได้รับการจัดการในช่วงวงจรชีวิตที่สมบูรณ์ นี่คือสิ่งที่ได้รับยาก ขณะนี้องค์กรต่างๆ กำลังประสบปัญหาในการออกและจัดการกับข้อมูลประจำตัวเหล่านี้ทั้งหมดตามความเร็วและขนาดที่จำเป็นสำหรับขั้นตอนที่มีประสิทธิภาพของบริษัทระบบคลาวด์ นี่เป็นการสร้างข้อผิดพลาดด้านความปลอดภัยเพิ่มเติมและการหยุดทำงานของแอปพลิเคชันเนื่องจากการจัดการข้อมูลประจำตัวเครื่องผิดพลาด ซึ่งมักจะหมายความว่ามีข้อมูลประจำตัวเครื่องกำพร้าจำนวนมากที่เหลืออยู่บนเครือข่าย ซึ่งทั้งหมดนี้ก่อให้เกิดความเสี่ยงด้านความปลอดภัยโดยธรรมชาติ
มีการจู่โจมมากกว่าเมื่อก่อนมากหรือเราแค่สังเกตการกำหนดเป้าหมาย Kubernetes อย่างแม่นยำเป็นพิเศษหรือไม่?
ด้วยธุรกิจจำนวนมากที่ใช้ Kubernetes มากกว่าที่เคย ทำให้แฮกเกอร์มองเห็นในรูปแบบใหม่ที่มีน้ำหนักเบา ดังนั้น ไม่ใช่แค่ว่าเราเห็นการทำร้ายร่างกายมากขึ้นกว่าเดิมเท่านั้น แต่คืออาชญากรไซเบอร์กำลังค้นหาทางเลือกใหม่เพื่อผลประโยชน์ทางการเงิน ในช่วงหลายเดือนที่ผ่านมา เราได้เห็นเจ้าหน้าที่กลุ่มอาชญากรไซเบอร์ที่ TNT ใช้ข้อได้เปรียบจากคลัสเตอร์ Kubernetes ที่กำหนดค่าไม่ถูกต้อง หลังจากได้รับการเข้าถึงครั้งแรก มัลแวร์ของพวกเขาที่มีชื่อว่า Hildegard ได้รับการติดตั้งเพื่อเข้าถึงคอนเทนเนอร์ที่สูงขึ้นโดยการสร้างการใช้คีย์ SSH ที่ไม่ปลอดภัยและข้อมูลประจำตัวเครื่องอื่น ๆ ก่อนที่จะปรับใช้ cryptominer
การโจมตีอีกครั้งหนึ่งสังเกตเห็นว่าคน Azure ที่เป็นอันตรายสามารถจัดการกับโอกาสบนคลาวด์ของลูกค้ารายอื่นได้ภายในเพียงการให้บริการคอนเทนเนอร์ในฐานะผู้ช่วยของ Microsoft การแทรกซึม 'Azurescape' นี้เป็นภาพประกอบที่แตกต่างกันว่าผู้โจมตีสามารถใช้ Kubernetes เพื่อขโมยข้อมูลที่ละเอียดอ่อน อนุญาตให้ทำเหมือง crypto หรือรันโค้ดอันตรายได้อย่างไร แม้ว่านักพัฒนาระบบคลาวด์จะมีความเจริญรุ่งเรืองในความเข้าใจ Kubernetes แต่ก็เป็นไปไม่ได้ทางกายภาพที่พวกเขาจะอยู่ในฐานะที่จะใช้การควบคุมความเสถียรที่แข็งแกร่งสำหรับโอกาสที่แยกจากกันบนคลาวด์แต่ละครั้ง แฮกเกอร์ได้รับแจ้งเกี่ยวกับสิ่งนี้และใช้ประโยชน์ได้อย่างเต็มที่โดยการพัฒนาเทคนิคและขั้นตอนการโจมตี นี่คือสิ่งที่เห็นได้จากการชอบของ Funds A และ Docker ที่ประสบกับการละเมิดที่มีรายละเอียดสูง
เนื่องจาก Kubernetes ได้รับการยอมรับมากขึ้น เราจึงคาดหวังว่าจะได้เห็นการจู่โจมที่หลากหลายมากขึ้น เว้นแต่แน่นอนว่าธุรกิจต่างๆ จะเริ่มมีส่วนร่วมอย่างมากในการปกป้องสภาพแวดล้อม Kubernetes ของตน
องค์กรสร้างข้อผิดพลาดบ่อยครั้งในการปรับใช้ Kubernetes คืออะไร
ความสะดวกในการใช้งานและขั้นตอนพื้นฐานที่จำเป็นในการปรับใช้ Kubernetes เป็นหนึ่งในข้อดีมากมาย ต้องบอกว่าสิ่งนี้ทำให้เกิดข้อผิดพลาดที่แพร่หลายที่สุดที่เกิดขึ้นโดยธุรกิจ ค่อนข้างมากขึ้นอยู่กับตัวเลือกเริ่มต้นของ Kubernetes ซึ่งช่วยให้ปรับใช้แอปใหม่ได้อย่างรวดเร็ว แม้ว่าตัวเลือกเหล่านี้จะไม่ได้รับการปกป้องโดยเนื้อแท้ก็ตาม ตัวอย่างเช่น หลักเกณฑ์เครือข่ายบอกเป็นนัยว่าแอปทั้งหมดสามารถสื่อสารกันเองได้โดยไม่มีข้อจำกัด ในขณะเดียวกัน วัตถุประสงค์ยังสามารถใช้อิมเมจคอนเทนเนอร์ใดๆ ก็ได้ ไฟล์สแตติกที่หลากหลายพร้อมโค้ดสั่งการ ไม่ว่าจะมาจากแหล่งที่ไม่น่าเชื่อถือหรือไม่ การพึ่งพาอาศัยกันมากเกินไปนี้ทำให้องค์กรต่างๆ สามารถเปิดช่องโหว่จำนวนมากที่อาชญากรไซเบอร์ใช้ให้เกิดประโยชน์อย่างมาก
ธุรกิจที่ล้มเหลวซึ่งเป็นที่นิยมหลายรายกำลังสร้างขึ้นเมื่อมาถึง Kubernetes คือการกำหนดค่าผิดพลาดและการจัดการข้อมูลประจำตัวอุปกรณ์ที่ผิดพลาด นี่เป็นโอกาสที่น่ากลัว โดยเสนอว่าตัวตนเหล่านี้จะหมดอายุลงหลังจากเวลาสั้น ๆ และมีความสำคัญต่อการปกป้องข้อเท็จจริงระหว่างทางระหว่างวัตถุประสงค์ หากสิ่งเหล่านี้ได้รับการกำหนดค่าผิดหรือถูกลืม แฮกเกอร์ก็สามารถทำได้เพื่อขโมยหรือปลอมแปลงข้อมูลประจำตัวเหล่านั้นและใช้เพื่อโจมตี สิ่งนี้ไม่เพียงแต่จะทำให้ปริมาณงานจำนวนมากล้มเหลวเท่านั้น แต่ข้อมูลและข้อเท็จจริงที่ละเอียดอ่อนอาจถูกวางผิดที่ และสามารถเสนอการควบคุมที่ดียิ่งขึ้นให้กับผู้โจมตีที่พยายามหาทางที่จะอยู่เหนือเครือข่ายทั้งหมด
นี่เป็นเรื่องเครียดเมื่อคุณเชื่อว่าการระเบิดในข้อมูลประจำตัวเครื่องควบคู่ไปกับลักษณะแบบไดนามิกของคลาวด์ แสดงให้เห็นว่าการจัดการไกด์ไม่สามารถทำได้ ในเวลาเดียวกัน การปรับปรุงอย่างต่อเนื่องของข้อมูลประจำตัวใหม่แสดงให้เห็นว่าช่องโหว่ด้านความปลอดภัยกำลังเปิดออกอย่างสม่ำเสมอ เนื่องจากผู้สร้างสร้างโปรแกรมมากขึ้นและมากขึ้นโดยไม่ใช้การจัดการคุณภาพเพื่อทดสอบกับความคาดหวังด้านการป้องกัน
นอกจากนี้ องค์กรต่างๆ ยังไม่สามารถรับผิดชอบต่อความมั่นคงของตนเองได้ พวกเขาจะต้องปฏิบัติตามแนวทางการรักษาความปลอดภัยอย่างมีประสิทธิภาพสูงสุดและยอมรับสังคม DevSecOps ที่ความปลอดภัยถูกสร้างขึ้นในอุดมคติที่มีความสำคัญตั้งแต่เริ่มแรก ความล้มเหลวในการทำเช่นนี้ทำให้บริษัทประสบปัญหา ด้วยความต้องการที่เพิ่มขึ้นสำหรับผู้ให้บริการดิจิทัล ผู้สร้างจึงมีศูนย์กลางอยู่ที่การสร้างและสร้างสรรค์นวัตกรรมอย่างต่อเนื่องเพื่อเร่งเวลาให้กับภาคส่วนต่างๆ แต่พวกเขาต้องปรับปรุงให้สอดคล้องกับกลุ่มความปลอดภัยในการปรับใช้ Kubernetes เพื่อให้แน่ใจว่าพวกเขายังคงได้รับการปกป้องและตรวจสอบปัญหาที่อาจเกิดขึ้น
องค์กรสามารถดำเนินการขั้นตอนใดในเชิงรุกเพื่อรักษาโครงสร้างพื้นฐาน Kubernetes ของตนให้ปลอดภัยและไร้เสียงจากผู้โจมตี
การตรวจสอบจาก Canonical แสดงให้เห็นว่ามีมากกว่าบุคคลในสองบริษัทที่ถูกท้าทายด้วยการขาดความสามารถ Kubernetes ในทรัพย์สิน องค์กรดำเนินการ 1 แห่งสามารถดำเนินการเพื่อจัดการกับช่องโหว่ด้านทักษะที่ทวีความรุนแรงขึ้นได้ นั่นคือการมีส่วนร่วมกับผู้เชี่ยวชาญเพื่อให้ความรู้และเพิ่มทักษะแก่พนักงานเกี่ยวกับวิธีดูแลโครงสร้างพื้นฐานของ Kubernetes ในเวลาเดียวกัน บริษัทต่างๆ จะต้องเร่งพัฒนาคลาวด์ของตนให้เร็วขึ้น เพื่อให้แน่ใจว่าพวกเขาตระหนักถึงความท้าทายทั้งหมดและวิธีการบรรเทาภัยคุกคาม แม้ว่าทีมที่เติบโตจะกระตือรือร้นเกี่ยวกับอุปกรณ์ที่มีอยู่และกำลังยุ่งอยู่กับการสร้างแอปบนคลาวด์ที่มีอัตรา แต่กลุ่มความปลอดภัยยังคงต่อสู้เพื่อรักษาไว้
อย่างไรก็ตาม การเพิ่มวุฒิภาวะของระบบคลาวด์ไม่ใช่เรื่องง่าย เทคโนโลยี Cloud-native เป็นเรื่องใหม่ และองค์กรส่วนใหญ่มีข้อจำกัดด้านการรับรู้และประสบการณ์กับเทคโนโลยีเหล่านี้ ด้วยเหตุนี้จึงเป็นเรื่องสำคัญมากที่บริษัทจะต้องทำงานร่วมกับเพื่อนร่วมงานที่สามารถมอบความสามารถ กระบวนการ และอุปกรณ์ที่สำคัญ เพื่อช่วยในการพัฒนาระบบคลาวด์เนทีฟที่รวดเร็วและได้รับการป้องกัน
ธุรกิจยังต้องยอมรับระบบอัตโนมัติ ซึ่งประกอบด้วยการออก การกำหนดค่า และการจัดการข้อมูลประจำตัวเครื่องโดยอัตโนมัติ เพื่อให้นักพัฒนาสามารถปรับใช้แอปพลิเคชันใหม่โดยไม่ต้องเครียดเกี่ยวกับความปลอดภัยหรือความสมบูรณ์ของโครงสร้างพื้นฐานที่พวกเขาปรับใช้
ระบบอัตโนมัติจะช่วยให้มั่นใจได้ว่าพนักงานที่ทำงานหนักเกินไปจะไม่เกิดความตึงเครียด พวกเขาสามารถทุ่มเทเวลาและพลังงานในการขับเคลื่อนผลประโยชน์ให้กับธุรกิจ สิ่งนี้จะทำให้มองเห็นได้ในเวลาจริง การปฏิบัติตามเกณฑ์ความปลอดภัย และความสามารถในการตอบสนองต่อความเสี่ยงด้านการป้องกันในแบบเรียลไทม์
หน้าที่ใดที่ศูนย์มีศรัทธาในการมีส่วนร่วมในการป้องกัน Kubernetes อย่างต่อเนื่อง?
การพึ่งพาศูนย์โดยปราศจากการพึ่งพาจะมีตำแหน่งที่สำคัญมากขึ้นในการเข้าร่วมในการรักษาความปลอดภัยอย่างต่อเนื่องของ Kubernetes ด้วยสถานการณ์ที่ค่อนข้างน้อยและปริมาณงานทางธุรกิจที่เพิ่มขึ้น จึงเป็นไปไม่ได้ที่จะจัดการกับข้อมูลประจำตัวอุปกรณ์ของบุคคลเหล่านั้นทั้งหมด และติดตั้งเพื่อตรวจสอบซอฟต์แวร์และบุคคลทุกตัวในกระบวนการ นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเมื่อคอนเทนเนอร์บางตัวจะหมุนขึ้นและลงในไม่กี่วินาที
ดังนั้น เทคนิค Zero-belief จะต้องถูกดำเนินการ โดยจะถือว่าแต่ละแอปพลิเคชันต้องการตรวจสอบและรับรองความถูกต้องตลอดเวลา
สำหรับสิ่งนี้เพื่อทำงานในสภาพแวดล้อมดั้งเดิมบนคลาวด์ ความไว้วางใจจะต้องถูกบังคับใช้ที่ระดับภาระงานด้วยข้อมูลประจำตัวเครื่องที่ได้รับตำแหน่งพื้นฐาน การทำงานอัตโนมัติจะมีความสำคัญสำหรับการดูแลเอกลักษณ์เหล่านี้โดยไม่ต้องพึ่งพากลวิธีโดยเสียค่าธรรมเนียมซึ่งจะรักษาไว้ด้วยการพัฒนาที่ทันสมัยและขนาดที่ต้องการสำหรับวัตถุประสงค์ขององค์กรขนาดใหญ่
Chintan Bellchambers ผู้จัดการรายการ Jetstack