Kubernetes 的稳定性在最近几年进展如何?
已发表: 2022-01-20
新十年 Kubernetes 的安全性如何发展?
Kubernetes 的采用取得了前所未有的发展,几乎 70% 的企业在大流行的直接影响下扩大了其使用范围。 这导致组织安全受到前所未有的挑战,使这两个复杂性和盲点增加。
保护组确实无法查看每个单独的 Kubernetes 项目,因此几乎无法以开发人员的工作速度保护它们。
造成困难的不仅仅是 Kubernetes 的声誉越来越高。 云原生架构的动态特性也是一种情况。 简而言之,61% 的公司表示他们的云环境每分钟都在变化或更少,几乎三分之一的公司表示他们至少每 2 分钟就会调整一次。 所有这些转变都在推动新设备和相应设备身份的种类呈指数增长——无论是微服务、容器还是数字机器。 设备身份是系统用来以加密方式与其他人通信的证书和密钥,从而保持数据无风险并受到保护。
虽然这些目的中的大多数将在几秒钟内上下旋转,但它们仍然需要一个 id,必须在其整个生命周期过程中对其进行管理。 这就是它变得困难的地方。 企业现在很难以云公司有效程序所需的速度和规模发布和处理所有这些身份。 然而,由于机器身份管理不善,这会造成额外的安全隐患和应用程序中断。 这通常也意味着网络上留下了许多孤立的机器身份,它们都带来了固有的安全风险。
是否有比以前更多的攻击,或者我们只是观察到更精确地针对 Kubernetes?
随着越来越多的企业比以往任何时候都应用 Kubernetes,它正在让黑客以一种新的轻量级方式看待它。 因此,不仅仅是我们看到的攻击比以前更多,而且网络犯罪分子正在寻找新的经济利益替代方案。 目前,在过去的几个月中,我们目睹了网络犯罪团伙 Staff TNT 利用配置错误的 Kubernetes 集群的优势。 在获得第一次进入后,他们的恶意软件被称为 Hildegard,通过在部署加密矿工之前构建使用不安全的 SSH 密钥和其他机器身份来访问更高数量的容器。
另一次攻击发现恶意 Azure 人员能够在微软提供的容器即辅助服务中绕过其他客户的云场合。 这种“Azurescape”渗透是攻击者如何使用 Kubernetes 窃取敏感信息、允许加密挖掘或执行危险代码的不同例证。 虽然云开发人员对 Kubernetes 的理解很丰富,但他们实际上不可能为每个单独的云场合实施强大的稳定性控制。 黑客知道这一点,并通过改进他们的技术和攻击程序来很好地利用它。 正是这一点被看到像 Funds A person 和 Docker 这样的人经历了备受瞩目的违规行为。
随着 Kubernetes 获得更多的认可,我们预计攻击的种类会增加。 当然,除非企业开始更加积极地参与到 Kubernetes 环境的防御中。
企业在其 Kubernetes 部署中构建的常见错误是什么?
部署 Kubernetes 所必需的易用性和基本程序是其众多优点之一。 话虽如此,这也导致了企业造成的最普遍的错误。 相当多的人非常依赖 Kubernetes 的默认选项,它允许快速部署新应用程序,即使这些选项本身并没有受到保护。 例如,网络指南意味着所有应用程序都可以不受限制地相互通信。 同时用途还可以使用任何容器镜像,各种带有可执行代码的静态文件,无论它是否来自不受信任的来源。 这种过度依赖使企业面临网络犯罪分子大量利用的大量漏洞。
当它到达 Kubernetes 时,另一个流行的失误业务是设备身份的错误配置和管理不善。 这是一个可怕的前景,前提是这些身份会在短时间内失效,并且对于保护在目的之间传输的事实至关重要。 如果这些配置错误或被遗忘,那么黑客就可以窃取或伪造这些身份并使用它们进行攻击。 这不仅会导致大量工作负载失败,而且微妙的信息和事实可能会错位,甚至可以为试图找到超越整个网络的攻击者提供更大的控制权。
当您认为机器身份的爆炸式增长以及云的动态特性表明指南管理根本无法实现时,这会让人感到压力。 同时,新身份的持续改进表明,随着建筑商构建更多和额外的程序而没有利用质量管理来测试它们是否符合保护预期,安全漏洞正在定期出现。
此外,组织未能对其自身的稳定性负责。 他们将需要更好地遵守安全最有效的做法,并拥抱一个从一开始就将安全作为优先理想的 DevSecOps 社会。 不这样做会导致公司陷入困境。 随着对数字供应商的需求不断增加,建筑商始终专注于建设和创新,以加快行业发展时间。 相反,他们必须改进与 Kubernetes 部署中的安全组的一致性,以确保他们继续受到保护和监控,以应对可能出现的任何困难。
企业可以采取哪些措施来主动保护其 Kubernetes 基础设施免受攻击者的攻击?
来自 Canonical 的调查表明,不仅仅是两家公司中的一个人受到内部 Kubernetes 功能缺陷的挑战。 1 组织可以采取的应对这一不断升级的技能漏洞的措施是与专家一起对员工进行有关如何照顾 Kubernetes 基础设施的教育和提升技能。 与此同时,企业将需要加快其云成熟度,以确保他们了解所有挑战和威胁缓解方法。 尽管增长团队对他们可以使用的设备充满热情,并且忙于按速度创建云原生应用程序,但安全团队仍在努力维持下去。
然而,提高云成熟度并非易事。 云原生技术是新技术,大多数组织对它们的认识和经验有限。 这就是为什么企业与能够提供重要功能、流程和设备以帮助快速、受保护的云原生开发的伙伴合作非常重要的原因。
企业还需要采用自动化系统。 这包括自动化机器身份的发布、配置和管理,因此开发人员可以部署新的应用程序,而不必担心他们部署到的基础设施的安全性或完整性。
自动化将确保过度紧张的员工不会感到紧张。 取而代之的是,他们可以将时间和精力集中在为企业带来利益上。 这将确保一定的实时可见性、遵守安全标准以及对保护风险做出实时反应的能力。
零有信心参与到 Kubernetes 的持续防御中来吗?
零依赖将在参与 Kubernetes 的持续安全中占据越来越重要的地位。 随着如此多的情况和业务工作量的增加,处理所有这些人员的设备身份并准备好验证程序中的每个软件和人员将变得不可能。 当某些容器将在几秒钟内上下旋转时,这一点尤其真实。
因此,必须执行零信任技术,即假设每个应用程序都希望始终得到验证和认证。
为此,要在云原生环境中完成这项工作,必须在工作负载级别上实施信任,并且机器身份获得基本地位。 自动化对于以零依赖策略来处理这些身份至关重要,其费用将与现代发展和大规模组织目的所需的规模保持一致。
Chintan Bellchambers,Jetstack 项目经理