Kubernetes 容器防護是保護 Kubernetes 單元、影像、運作期、主機及基礎架構本身的全面性操作。
目錄
Kubernetes 容器防護
Kubernetes 是一個流行的開放源碼容器協調工具,在容器業界大受歡迎。對很多機構而言,擁有像 Kubernetes 這樣的容器協調工具十分重要,否則他們將不能運行一個容器化的應用程式作生產用途。沒有它,嘗試利用命令行以人手大規模部署及管理容器,在流程上是一件不可能的任務。
任務自動化可帶來不少優點,包括對容器化應用程式的部署、擴展與整體管理方面。有一點需要明白的,就是在沒有合適措施的情況下,同一工具亦可能造成保安漏洞。
Kubernetes 並不管理保安
根據最近的報告,超過 86% 機構正利用 Kubernetes 管理某部份的容器工作負載,不過,保安仍然是一大顧慮。在同一調查中,超過一半受訪者指出,他們的機構並未有在容器保安上作充分投資。沒有訂定合適的策略,很容易就會延誤 Kubernetes 的應用,甚至造成重大保安事故。
除了如執行角色為基登入管制的基本功能外,Kubernetes 並未提供防護應用程式漏洞的功能。因此您必須採用額外的系統或第三方廠商來確保合適的保安。
要考慮的事項
以下為保護您的 Kubernetes 容器時要考慮的事項:
- 預設配置
- 容器運作期
- 影像
- 主機防護
- 單元對單元通訊
預設配置
在保護 Kubernetes 容器時,其中一個首先要考慮的就是預設配置。所有預設的 Kubernetes 配置在採用前都必須經過檢查,才可以減低攻擊從一個單元擴散至另一單元的風險。
雖然 Kubernetes 在一些功能如及登入管控上都有獨特的架構,但大部份的登入管控功能卻並未有被預設啟動。這類管控亦可能未設定為執行最低權限政策,令用戶可以取得他們可能並不需要的全面權限。此舉亦可能暴露敏感資料,大大增加惡意用戶接觸機密數據的風險。
容器運作期
容器運作期是一個執行容器的特別應用程式。我們要了解,Kubernetes 本身並沒有對運作期攻擊設置防護,亦不能在被入侵後進行偵測。
假如在容器運作期出現入侵情況或偵測到新的漏洞,整個容器將須要刪除,以及重新推出未被入侵的新版本。已修正安全事件根源的資料亦應被用作重新配置新環境內的組件,
影像
影像可能令容器更易受攻擊。配置欠佳的影像為攻擊者提供簡易侵入網絡的登入點,而包含獨特認證鑰匙的影像更可協助網絡歹徒進行更多攻擊。
在容器影像內偵測惡意程式碼需要在註冊系統上及生產期進行漏洞掃瞄,但 Kubernetes 並沒有此功能。
主機保安
Kubernetes 的設計是在指定的伺服器上運行容器。由於協調工具並未涉及保護這些伺服器,故必須利用其他程序來監控其保安問題。
在此情況下,很多機構都會轉用傳統的主機防護來偵測對系統資源的入侵。但假如主機亦被入侵,就會導致毀滅性的後果。主機系統必須監控入侵及其他可疑活動,以對抗惡意攻擊。
單元對單元通訊
Kubernetes 並未有預設在每一單元實施網絡政策,這亦即表示每一單元都可以與在 Kubernetes 環境內的其他單元溝通。在同一部署內的容器及單位可以互相溝通有助於容器的暢順運作,但這亦很容易成為方便網絡歹徒的目標,因為他們只要入侵一個容器就可以在同一環境內隨意橫向移動。
將網絡政策聯繫至一個單元可以限制它與其他資產的溝通,就像防火牆規則及管控一樣。
保護 Kubernetes 容器
由於大部份機構都在使用 Kubernetes 容器,確保其安全以保障網絡及應用程式不被入侵或惡意攻擊就變得極為重要。成功整合保安至每一階段的 Kubernetes 容器週期,代表機構已實施合適的防護措施。
Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。
Fernando 在網絡資訊保安產業擁有超過 13 年經驗,曾帶領過多項雲端防護、DevSecOps 及人工智能防護計劃,並與全球客戶及策略合作夥伴密切合作,如 AWS、NVIDIA 和 Microsoft。此外,他還是全球知名意見領袖,經常擔任演講嘉賓,包括 AWS re:Invent 到 NVIDIA GTC 以及 Black Hat 的人工智能高峰會。
Fernando 帶領全球產品經理團隊,推動上市策略、進行市場研究,並提供創新技術來持續塑造安全、智慧雲端環境的未來。