K8s 安全是云安全的未来

这篇具有很好参考价值的文章主要介绍了K8s 安全是云安全的未来。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

导语

到 2025 年,保护 Kubernetes (K8s) 将被认为是云安全最重要的方面。 在最成功的组织中,CTO 和 CISO 已经意识到 Kubernetes 安全的重要性。 但是,虽然 Kubernetes 已经占 CTO 云支出的很大一部分,但 CISO 仍然有所落后。 大多数 CISO 仍然专注于零信任模型——但是,他们很快就会意识到他们在 Kubernetes 中运行 98% 的 PCI 监管工作负载,因此需要转变他们的想法。

K8s 安全是云安全的未来

为什么k8s安全如此重要

我们进入了 Kubernetes 的第八年。 IBM 报告说,他们最大的交易和增长最快的收入来自他们的托管 K8s 平台 OpenShift。 vSphere 和 ESXi 等一些“老派”虚拟化技术如今仍在广泛使用。 但它们达到了成熟度和采用率的水平,这让客户想知道,“我们还要使用什么?”

Kubernetes 现在也达到了这一点。 不专注于保护 Kubernetes 的传统 CISO 将被逐步淘汰,取而代之的是技术性更强、深入参与平台工程并参与 AppSec 的 CTO 式 CISO。 所谓的 DevOps 几乎 100% 由 Kubernetes 提供支持。 现代基础设施意味着 K8s 不再是一个行项目——它是至关重要的。 工作变动将在未来两年内到来。 很快,您将开始看到新来的 CISO,他们更多地采用类似于 CTO 的角度。 这位 CISO 技术性更强,更深入地参与平台工程和 AppSec——这意味着保护 DevOps,特别是保护 Kubernetes。

但为什么 CTO 们都全力投入 Kubernetes 呢? 除了安全性之外,它通常归结为开发人员的效率。 他们的业务需要更快地运送东西,并且他们以前做事的方式很糟糕,遗留系统堆叠在遗留系统上。 一切都只是花费了更长的时间——可靠性也受到了影响。 但 Kubernetes 是最终的重置。 CTO 知道他们可以使用他们拥有的每个应用程序并将其作为容器运行,因此可以让更小的团队处理更小的块。 因此,您没有繁琐的委员会投票流程,而是让一个小团队花两周时间做一件事情,然后自动发布。 CTO 知道客户希望功能在他们完成的那一刻就出来,而 K8s 的速度和效率意味着他们可以比竞争对手更快地移动。 CTO 明白,通过减少支出和投入更多的计算基础设施(并在平台方面用更少的资源做更多的事情),他们可以将平台团队整合到一个 API 中。

如何开始

k8s复杂的体系能力一直都让人头疼,K8s的安全也同样具有相当复杂性,其包含了非常多的方面,那么面对越来越重要的K8s安全,我们又改从何处开始入手呢?我们建议可以从以下的方面:

提升镜像安全

容器是由软件组成的,新的常见漏洞和暴露(CVE)经常被披露。 如果您没有定期扫描容器镜像中的漏洞,它们很可能存在于您的容器镜像和已部署的容器中。到 2021 年,40% 的组织受到镜像漏洞影响的工作负载不到 10%,而到 2022 年,这一比例仅为 12%。恶意行为者的一种常见攻击媒介是已知漏洞,因此识别和修复这些漏洞是 对 Kubernetes 工作负载安全很重要。

持续检查K8s配置安全

Kubernetes有着非常多的配置,但并不是所有的配置默认都是设置安全的,而往往默认情况下它是不安全的。 例如,默认情况下,某些 Linux 功能会为 Kubernetes 工作负载启用,即使这些工作负载不需要这些功能。 基准数据表明,组织并没有像以前那样限制这些能力。 2021 年,42% 的组织针对大多数工作负载关闭了这些功能。所以为了避免出现“99%的损失是由于1%的人为错误产生”的情况,我们建议持续的检查K8s的配置安全性,保证K8s在一个安全的环境下运行。

K8s 安全是云安全的未来

最小化权限

最小化权限是一个非常熟悉的概念,但是往往大家做的并不好。例如允许以根用户身份运行,根据报告,许多工作负载都允许使用此功能。 到 2022 年,允许以 root 身份运行的工作负载数量有所增加。 分析显示,44% 的组织正在运行 71% 或更多的工作负载允许 root 访问,而 2021 年这一比例为 22%。这是具有非常大的潜在风险的,所以发现权限的问题,并且持续的实践最小化权限,可以显著的提升整个系统的安全性。

 启用 K8s 的 RBAC

K8s 安全是云安全的未来

RBAC 可以帮助您定义谁有权访问 Kubernetes API 以及他们拥有哪些权限。RBAC 通常在 Kubernetes 1.6 及更高版本(后来在一些托管的 Kubernetes 提供程序上)默认启用。因为 Kubernetes 结合了授权控制器,所以当您启用 RBAC 时,您还必须禁用旧的基于属性的访问控制 (ABAC)。

使用 RBAC 时,更喜欢特定于命名空间的权限而不是集群范围的权限。即使在调试时,也不要授予集群管理员权限。仅在您的特定情况需要时才允许访问更为安全。

提升可视化

K8s 安全是云安全的未来

K8s复杂性的一个突出体现就是太多的操作和内容是命令执行和配置管理,但是可视化程度不高,在安全的范畴内,一个重要原则是可见才能安全,所以在开始提升安全能力的时候,不妨同时考虑全面提升可视化能力。让安全问题以更好的形式展现,让管理人员可以快速的定位和发现安全隐患。

总结

现在是 CISO 像 CTO 一样思考的时候了。 由于他们负责终端安全、数据安全和合规性,因此 K8s 可能不是 CISO 的首要计划。 但到 2025 年,CISO 和 CTO 的目标将围绕业务优先级进行调整,以包括更安全的 DevOps——这需要更安全的 K8s。 更安全的 Kubernetes 需要工具通过实时评估和检测 Kubernetes 环境的问题来更轻松、更有效地保护容器化基础设施。

关于HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

Github 地址:
https://github.com/HummerRisk/HummerRisk

Gitee 地址:
https://gitee.com/hummercloud/HummerRisk

K8s 安全是云安全的未来文章来源地址https://www.toymoban.com/news/detail-446510.html

到了这里,关于K8s 安全是云安全的未来的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 云安全-云原生k8s攻击点(8080,6443,10250未授权攻击点)

    k8s(Kubernetes) 是容器管理平台,用来管理容器化的应用,提供快速的容器调度、弹性伸缩等诸多功能,可以理解为容器云,不涉及到业务层面的开发。只要你的应用可以实现容器化,就可以部署在k8s 上,通过k8s对应用负载进行调度,配合hpa (Horizontal PodAutoscaling) 可以实现应

    2024年02月06日
    浏览(33)
  • Kubernetes (K8s) 解读:微服务与容器编排的未来

    🌷🍁 博主猫头虎(🐅🐾)带您 Go to New World✨🍁 🐅🐾猫头虎建议程序员必备技术栈一览表📖: 🛠️ 全栈技术 Full Stack : 📚 MERN/MEAN/MEVN Stack | 🌐 Jamstack | 🌍 GraphQL | 🔁 RESTful API | ⚡ WebSockets | 🔄 CI/CD | 🌐 Git Version Control | 🔧 DevOps 🌐 前端技术 Frontend : 🖋️ HTML CSS |

    2024年02月09日
    浏览(41)
  • k8s 安全机制

    安全机制 //机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。 比如 kubectl 如果想向 API Server 请求资源,

    2024年02月17日
    浏览(42)
  • k8s 安全机制详解

    目录 一、安全机制 三个主要安全机制 认证(Authentication): 鉴权(Authorization): 准入控制(Admission Control): 二、 认证 认证方式 对比总结 认证机制框架和相关组件 Service Account 访问权限机制 Service Account 通常包含以下三个部分: 当 Pod 在 Kubernetes 集群中启动时, 三、 鉴

    2024年03月15日
    浏览(44)
  • K8S安全管理

    1.1.1 认证框架 学习目标 这一节,我们从 基础知识、认证流程、小结 三个方面来学习。 基础知识 资源操作 认证流程 简介 解析 小结 1.1.2 框架解读 学习目标 这一节,我们从 流程解读、对象梳理、小结 三个方面来学习。 流程解读 认证 授权 准入控制 对象梳理 资源对象 对象

    2024年02月12日
    浏览(40)
  • K8S平台安全框架

    1.1.1 认证框架 学习目标 这一节,我们从 基础知识、认证流程、小结 三个方面来学习。 基础知识 安全机制 资源操作 表现样式 认证流程 简介 解析 小结 1.1.2 框架解读 学习目标 这一节,我们从 流程解读、对象梳理、小结 三个方面来学习。 流程解读 认证 常见令牌 授权 准入

    2024年02月12日
    浏览(34)
  • Kubernetes(k8s)安全机制

    目录 一、kubernetes安全机制 二、Authentication认证 1、用户分类 1.1、需要被认证的访问类型 1.2、安全性说明 1.3、证书颁发 1.4、Service Account 1.5、Secret 与 SA 的关系 1.6、Service Account (SA)中包含三个部分  2、kubeconfig文件 三、Authorization授权 3.1、RBAC 3.2、示例 3.3、Resources 四、准入

    2024年02月15日
    浏览(47)
  • K8S应用流程安全(镜像安全 配置管理 访问安全)

    1.1.1 构建原则 学习目标 这一节,我们从 基础知识、原则解读、小结 三个方面来学习。 基础知识 k8s平台使用业务环境 需求 镜像的使用流程 Docker镜像加载 UnionFS 原则解读 构建样式 构建原则 实践原则 分层效果 功能效果 小结 1.1.2 Dockerfile实践 学习目标 这一节,我们从 基础

    2024年02月13日
    浏览(48)
  • k8s - 安全认证(RBAC)

    api server 是集群访问控制的统一入口 k8s认证过程: 认证 - 授权 - 准入控制 ( adminationcontroller ) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器

    2024年02月08日
    浏览(40)
  • Kubernetes(K8s)从入门到精通系列之七:K8s的基本概念和术语之安全类

    开发的Pod应用需要通过API Server查询、创建及管理其他相关资源对象,所以这类用户才是K8s的关键用户。K8s设计了Service Account这个特殊的资源对象,代表Pod应用的账号,为Pod提供必要的身份验证。在此基础上,K8s实现和完善了基于角色的访问控制权限系统——RBAC(Role-Based Acce

    2024年02月15日
    浏览(63)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包