kubernetes和容器安全的7个关键特性

这篇具有很好参考价值的文章主要介绍了kubernetes和容器安全的7个关键特性。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Uptycs结合了针对Kubernetes和容器运行时的威胁检测,自动注册表扫描和Kubernetes硬化检查。

许多组织正在开始他们的Kubernetes和容器之旅,而其他组织在扩展部署规模时遇到了复杂性问题。容器化应用程序带来了许多好处,但也引入了新类型的安全挑战。

Uptycs通过将威胁、漏洞、配置错误、敏感数据暴露和合规要求的响应优先级化,从单个平台、UI和数据模型中降低了云和本地容器工作负载的风险。Uptycs为与Kubernetes控制平面攻击相关的容器运行时提供威胁检测。该产品还支持对注册表中的容器映像进行漏洞、恶意软件、凭据、密钥和其他敏感信息的扫描。这些功能可用于自管理的Kubernetes部署以及Amazon Elastic Kubernetes Service、Azure Kubernetes Service和Google Kubernetes Engine等托管服务。

这些Uptycs解决方案支持团队之间的协调增加,消除Kubernetes和容器部署的数据孤岛,加快威胁检测和响应时间,并快速识别配置错误和漏洞等风险。

Linux容器部署中的eBPF

Uptycs容器运行时可观测性的基础是扩展的Berkeley数据包过滤器(eBPF)技术。Uptycs传感器使用eBPF在Linux内核中捕获进程、文件和套接事件。eBPF为监视极高容量事件数据提供了实时安全可观测性、速度和便利性。eBPF是与Linux内核交互的安全方式,是插入auditd框架的首选替代方案。它还是一个即时编译器(JIT)。在字节码编译后,每个方法不再进行新的字节码解释,而是调用eBPF。

使用eBPF,Uptycs将探针插入Linux内核以监视感兴趣的事件。这发生在传感器启动时,并将信息传递回用户空间进程,大大减少了进行深度安全监视所需的资源利用率。eBPF很容易为此过程进行配置,并且不会在部署中创建任何延迟。eBPF为跟踪进程提供了一个单一、强大且易于访问的统一跟踪框架。使用eBPF有助于增加环境的功能丰富性,而不需要添加额外的层。同样,由于eBPF代码直接在内核中运行,因此可以在eBPF事件之间存储数据,而不像其他跟踪器那样将其转储。

容器运行时威胁检测

扩展容器部署意味着团队需要保护更多的短暂资产。使用通过eBPF收集的详细遥测数据,Uptycs能够实时检测恶意行为,并将检测结果映射到Mitre攻击框架。Uptycs在运行节点和容器上检测威胁,捕获粒度化的容器和节点遥测数据,包括进程事件、文件事件、DNS查找、套接字事件等。

数据实时规范化为SQL表格,使得形成复杂的检测框架,串联数百个信号变得无缝。超过200个Yara规则扫描二进制文件以查找恶意软件签名,而1300多个行为规则监视来自实时事件遥测的信号。

锁定Kubernetes控制平面

Kubernetes控制平面是攻击者攻击的高价值目标。从控制平面,攻击者可以创建特权容器、捕获配置标准,并深入到您的云基础架构。Uptycs捕获超过50个遥测表,涵盖所有Kubernetes对象,包括pod、部署、configmap、ingress、RBAC等。这些遥测数据通过单一来源提供了对合规性、威胁和漏洞的多集群可见性。从宏观视图到对命名空间、pod和工作负载的粒度视图,Uptycs遥测旨在回答任何基础架构问题,从合规性可见性到运行时威胁。

例如,从被攻击的Kubernetes控制平面,攻击者将寻找特权容器或自己创建特权容器。Uptycs监视在您的Kubernetes集群中创建特权pod的命令,阻止攻击者在创建这些攻击过程中进行攻击,并鼓励用户构建具有恰当权限的不可变容器,而不是过度特权的部署。

统一控制平面和数据平面数据

攻击者不会孤立地思考,因此对于跟踪攻击者行动,来自Kubernetes基础架构不同部分的数据进行关联是至关重要的。威胁行为者不断地在基础架构中寻找,试图进行容器逃逸攻击。团队很难将运行容器和Kubernetes控制平面中的运行威胁相关联,因为捕获、存储和处理这两个数据源在一起的难度很大。Uptycs从控制平面和数据平面捕获数据,将这些来源实时汇集在一起,具备即时检测能力。

开发人员友好的注册表扫描

注册表扫描是DevOps安全的重要组成部分。部署速度越来越快,因此在运行时之前,容器镜像必须是“黄金”的。负担正在向左移动,安全团队需要可靠且无缝的方式来支持DevOps流程。仅仅检测漏洞已经不够了,您需要有方法来对漏洞进行优先级排序。

在DevOps、运维和安全团队之间协调纠正措施是一项艰巨的任务。为了帮助指导这些团队,Uptycs通过智能指标提供关键上下文,不仅指示存在哪些漏洞,还指导如何优先纠正措施。仅仅提供一个严重性评分是不够的。团队需要知道网络端口是否对互联网开放,或者所涉及的软件是否实际运行。

Uptycs可以扫描您的容器注册表,检测60000个Linux CVE和700万个指标。自动化扫描将新的CVE无缝地纳入监控和更新注册表的安全姿态。支持的注册表包括JFrog Artifactory、Amazon Elastic Container Registry、Google Container Registry、Azure Container Registry和Docker Hub。

揭示嵌入式秘密

公共和嵌入式秘密正在迅速成为攻击者的常见入口,这一趋势在2022年底被强调,当时攻击者通过窃取包含在PowerShell脚本中的硬编码凭据来攻击Uber。使用Uptycs,您可以使用Yara规则和100多个基于正则表达式的警报扫描镜像中的嵌入式秘密,并将其纳入Jenkins、GitLab和GitHub Actions的CI/CD流程中。当发现秘密时,您甚至可以通过阻止镜像构建进入生产环境来进一步支持DevOps团队。

NSA针对Kubernetes部署的加固检查

您的Kubernetes控制平面是容器部署的中央命令和控制API服务器。因此,它需要最大的安全性,运行时镜像也需要进一步的保护和加固。这就是为什么NSA和CISA通过发布pod安全和网络分割的配置,发布了关于加固K8s和容器运行时部署的广泛指导。

这些发布的标准缓解了来自三个核心攻击者目标的威胁:DDoS攻击以使运行中的容器崩溃,劫持容器将其变成加密货币挖掘器,以及数据外泄。Uptycs已将这些NSA指南规则转化为合规性规则。例如,应用“拒绝具有HostPID访问权限的容器”规则集就像启用规则集一样简单。然后,在容器从您的Kubernetes控制平面启动后,您的运行时将在运行时持续验证与NSA加固检查列表相匹配,以确保攻击者没有修改容器以升级权限,或者容器没有从其黄金镜像漂移。

作者:Ganesh Pai

更多技术干货请关注公号“云原生数据库

squids.cn,目前可体验全网zui低价RDS,免费的迁移工具DBMotion、SQL开发工具等文章来源地址https://www.toymoban.com/news/detail-492896.html

到了这里,关于kubernetes和容器安全的7个关键特性的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • kubernetes gVisor 安全沙箱运行容器(RuntimeClass)

    开头语 写在前面:如有问题,以你为准, 目前24年应届生,各位大佬轻喷,部分资料与图片来自网络 内容较长,页面右上角目录方便跳转 容器的应用程序可以直接访问Liux内核的系统调用,容器在安全隔离上还是比较弱,虽然 内核在不断地增强自身的安全特性,但由于内核

    2024年01月18日
    浏览(45)
  • 容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)

    《OpenShift / RHEL / DevSecOps 汇总目录》 通过将运行 Pod 的 privileged 设为 true,容器就以特权模式运行在宿主机上。和普通容器相比,特权容器具有非常大的权限和能力。 容器被赋予所有能力 不屏蔽敏感路径,例如 sysfs 中的 kernel 模块 within Any sysfs and procfs mounts are mounted RW AppArm

    2024年02月04日
    浏览(40)
  • 云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行

    Kubernetes是一个开源的, 用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制 。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可

    2024年02月08日
    浏览(82)
  • 云上攻防-云原生篇&;Kubernetes&;K8s安全&;API&;Kubelet未授权访问&;容器执行

    curl -XPOST -k “https://192.168.139.132:10250/run///” -d “cmd=id” 执行的命令是test03容器里的命令,需要进行容器逃逸。 1、攻击8080端口:API Server(Master)未授权访问 旧版本的k8s的API Server默认会开启两个端口:8080和6443。 6443是安全端口,安全端口使用TLS加密;但是8080端口无需认证,

    2024年04月22日
    浏览(73)
  • C++ 11 新特性 关键字

    我们先来看一段代码: 在这案例中,我们可以看到,声明为迭代器的变量前缀非常长,这样来写代码非常不美观,也不方便。auto的出现很大程度是为了解决该问题。 现在我们来回答刚才的问题: 在C++中, auto 是一个,它的作用是让编译器自动推导变量的类型,根据变

    2024年02月11日
    浏览(42)
  • Kubernetes v1.27 新特性一览

    大家好,我是张晋涛。 Kubernetes v1.27 是 2023 年的第一个大版本更新,包含了近 60 项主要的更新。 而 1.26 只有 37 项,所以这个版本可以说是一个变化非常显著的版本了。 其中 18 个增强功能正在进入 Alpha 阶段,29 个将升级到 Beta 阶段,而另外 13 个则将升级到稳定版。 尽管这

    2024年02月05日
    浏览(38)
  • Redis 6.0进化之路:关键新特性详解

            随着技术发展的日新月异,Redis作为业界知名的开源内存数据结构存储系统,在不断演进中为开发者带来了众多令人瞩目的新特性。在2020年4月底正式发布的Redis 6.0版本中,一系列重大改进不仅提升了性能和扩展性,更强化了安全性及管理灵活性。本文将深入探讨

    2024年01月18日
    浏览(37)
  • Kubernetes 关键组件和概念(二)

    上一篇我们介绍了 k8s 的基本架构,我们在这篇文章将介绍 Kubernetes 关键组件和概念。 还是先来一张图: 根据上图我们分别对 Deployment 、 ReplicaSet 、 Pod 详细的介绍,其他的几个在上一篇也做了介绍: Deployment Deployment 是 Kubernetes 中的资源对象,为应用程序提供声明性更新。部

    2024年02月11日
    浏览(35)
  • Flink流批一体计算(2):Flink关键特性

    目录 Flink关键特性 流式处理 丰富的状态管理 丰富的时间语义支持    Data pipeline 容错机制 Flink SQL CEP in SQL Flink 应用程序可以消费来自消息队列或分布式日志这类流式数据源(例如 Apache Kafka 或 Kinesis )的实时数据,也可以从各种的数据源中消费有界的历史数据。同样, Fli

    2024年02月10日
    浏览(43)
  • 【C++】static 关键字的特性 与 问题

    声明为 static的类成员 称为 类的静态成员 用 static 修饰的成员变量 ,称之为 静态成员变量 ; 用 static 修饰的成员函数 ,称之为 静态成员函数 。 静态成员变量 一定要在 类外进行初始化 。 下面一段代码证明 上述定义: 输出结果: 从代码可以看出,静态成员变量需要在 类

    2024年02月14日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包