Kubernetes 的穩定性在最近幾年進展如何?
已發表: 2022-01-20
新十年 Kubernetes 的安全性如何發展?
Kubernetes 的採用取得了前所未有的發展,幾乎 70% 的企業在大流行的直接影響下擴大了其使用範圍。 這導致組織安全受到前所未有的挑戰,使這兩個複雜性和盲點增加。
保護組確實無法查看每個單獨的 Kubernetes 項目,因此幾乎無法以開發人員的工作速度保護它們。
造成困難的不僅僅是 Kubernetes 的聲譽越來越高。 雲原生架構的動態特性也是一種情況。 簡而言之,61% 的公司表示他們的雲環境每分鐘都在變化或更少,幾乎三分之一的公司表示他們至少每 2 分鐘就會調整一次。 所有這些轉變都在推動新設備和相應設備身份的種類呈指數增長——無論是微服務、容器還是數字機器。 設備身份是系統用來以加密方式與其他人通信的證書和密鑰,從而保持數據無風險並受到保護。
雖然這些目的中的大多數將在幾秒鐘內上下旋轉,但它們仍然需要一個 id,必須在其整個生命週期過程中對其進行管理。 這就是它變得困難的地方。 企業現在很難以雲公司有效程序所需的速度和規模發布和處理所有這些身份。 然而,由於機器身份管理不善,這會造成額外的安全隱患和應用程序中斷。 這通常也意味著網絡上留下了許多孤立的機器身份,它們都帶來了固有的安全風險。
是否有比以前更多的攻擊,或者我們只是觀察到更精確地針對 Kubernetes?
隨著越來越多的企業比以往任何時候都應用 Kubernetes,它正在讓黑客以一種新的輕量級方式看待它。 因此,不僅僅是我們看到的攻擊比以前更多,而且網絡犯罪分子正在尋找新的經濟利益替代方案。 目前,在過去的幾個月中,我們目睹了網絡犯罪團伙 Staff TNT 利用配置錯誤的 Kubernetes 集群的優勢。 在獲得第一次進入後,他們的惡意軟件被稱為 Hildegard,通過在部署加密礦工之前構建使用不安全的 SSH 密鑰和其他機器身份來訪問更高數量的容器。
另一次攻擊發現惡意 Azure 人員能夠在微軟提供的容器即輔助服務中繞過其他客戶的雲場合。 這種“Azurescape”滲透是攻擊者如何使用 Kubernetes 竊取敏感信息、允許加密挖掘或執行危險代碼的不同說明。 雖然雲開發人員對 Kubernetes 的理解很豐富,但他們實際上不可能為每個單獨的雲場合實施強大的穩定性控制。 黑客知道這一點,並通過改進他們的技術和攻擊程序來很好地利用它。 正是這一點被看到像 Funds A person 和 Docker 這樣的人經歷了備受矚目的違規行為。
隨著 Kubernetes 獲得更多的認可,我們預計攻擊的種類會增加。 當然,除非企業開始更加積極地參與到 Kubernetes 環境的防禦中。
企業在其 Kubernetes 部署中構建的常見錯誤是什麼?
部署 Kubernetes 所必需的易用性和基本程序是其眾多優點之一。 話雖如此,這也導致了企業造成的最普遍的錯誤。 相當多的人非常依賴 Kubernetes 的默認選項,它允許快速部署新應用程序,即使這些選項本身並沒有受到保護。 例如,網絡指南意味著所有應用程序都可以不受限制地相互通信。 同時用途還可以使用任何容器鏡像,各種帶有可執行代碼的靜態文件,無論它是否來自不受信任的來源。 這種過度依賴使企業面臨網絡犯罪分子大量利用的大量漏洞。
當它到達 Kubernetes 時,另一個流行的失誤業務是設備身份的錯誤配置和管理不善。 這是一個可怕的前景,前提是這些身份會在短時間內失效,並且對於保護在目的之間傳輸的事實至關重要。 如果這些配置錯誤或被遺忘,那麼黑客就可以竊取或偽造這些身份並使用它們進行攻擊。 這不僅會導致大量工作負載失敗,而且微妙的信息和事實可能會錯位,甚至可以為試圖找到超越整個網絡的攻擊者提供更大的控制權。
當您認為機器身份的爆炸式增長以及雲的動態特性表明指南管理根本無法實現時,這會讓人感到壓力。 同時,新身份的持續改進表明,隨著建築商構建更多和額外的程序而沒有利用質量管理來測試它們是否符合保護預期,安全漏洞正在定期出現。
此外,組織未能對其自身的穩定性負責。 他們將需要更好地遵守安全最有效的做法,並擁抱一個從一開始就將安全作為優先理想的 DevSecOps 社會。 不這樣做會導致公司陷入困境。 隨著對數字供應商的需求不斷增加,建築商始終專注於建設和創新,以加快行業發展時間。 相反,他們必須改進與 Kubernetes 部署中的安全組的一致性,以確保他們繼續受到保護和監控,以應對可能出現的任何困難。
企業可以採取哪些措施來主動保護其 Kubernetes 基礎設施免受攻擊者的攻擊?
來自 Canonical 的調查表明,不僅僅是兩家公司中的一個人受到內部 Kubernetes 功能缺陷的挑戰。 1 組織可以採取的應對這一不斷升級的技能漏洞的措施是與專家一起對員工進行有關如何照顧 Kubernetes 基礎設施的教育和提陞技能。 與此同時,企業將需要加快其云成熟度,以確保他們了解所有挑戰和威脅緩解方法。 儘管增長團隊對他們可以使用的設備充滿熱情,並且忙於按速度創建雲原生應用程序,但安全團隊仍在努力維持下去。
然而,提高云成熟度並非易事。 雲原生技術是新技術,大多數組織對它們的認識和經驗有限。 這就是為什麼企業與能夠提供重要功能、流程和設備以幫助快速、受保護的雲原生開發的伙伴合作非常重要的原因。
企業還需要採用自動化系統。 這包括自動化機器身份的發布、配置和管理,因此開發人員可以部署新的應用程序,而不必擔心他們部署到的基礎設施的安全性或完整性。
自動化將確保過度緊張的員工不會感到緊張。 取而代之的是,他們可以將時間和精力集中在為企業帶來利益上。 這將確保一定的實時可見性、遵守安全標準以及對保護風險做出實時反應的能力。
零有信心參與到 Kubernetes 的持續防禦中來嗎?
零依賴將在參與 Kubernetes 的持續安全中佔據越來越重要的地位。 隨著如此多的情況和業務工作量的增加,處理所有這些人員的設備身份並準備好驗證程序中的每個軟件和人員將變得不可能。 當某些容器將在幾秒鐘內上下旋轉時,這一點尤其真實。
因此,必須執行零信任技術,即假設每個應用程序都希望始終得到驗證和認證。
為此,要在雲原生環境中完成這項工作,必須在工作負載級別上實施信任,並且機器身份獲得基本地位。 自動化對於以零依賴策略來處理這些身份至關重要,其費用將與現代發展和大規模組織目的所需的規模保持一致。
Chintan Bellchambers,Jetstack 項目經理