怎样使用Kubernetes实现安全合规自动化?
发布时间:2022-02-16 10:45:01 所属栏目:安全 来源:互联网
导读:容器与Kubernetes带来了新的、独特的安全审视角度。它们促使团队重新考量自己的传统安全策略,摆脱单一或瀑布式的粗放方法,希望破除安全工作马后炮式的被动属性。 有些人将这种趋势称为左移思维模式,代表着我们会尽可能将安全因素部署在软件开发生命周期或
|
容器与Kubernetes带来了新的、独特的安全审视角度。它们促使团队重新考量自己的传统安全策略,摆脱单一或瀑布式的粗放方法,希望破除安全工作“马后炮”式的被动属性。 有些人将这种趋势称为“左移”思维模式,代表着我们会尽可能将安全因素部署在软件开发生命周期或CI/CD管道的起点位置。同样重要的是,这种转型将高度依赖于自动化,要求我们尽早且频繁检测并修复问题,而不再等到严重问题发生时再进行事后补救。在这场轰轰烈烈的转型中,容器化加编排工具的组合将助力提升安全性与合规性。 Stackrox联合创始人兼首席战略官Wei Lien Dang表示,“像Kubernetes这样的平台,最大的优势之一就是能够在安全性与合规性领域实现高度自动化,大大增强配置能力。这些自动化流程与工具能够帮助IT团队随时随地准确衡量Kubernetes环境的安全状况与整体风险。”左移思维还能在安全策略的实施当中发挥作用,这同样有助于改善合规性。Dang解释道,“策略的执行将可分布在各个检查点当中——包括CI/CD管道、部署或运行期间,并由编排工具根据实际要求提供良好的可扩展性与可靠性。” 下面,我们一起来看通过容器化与编排工具提高安全/合规自动化水平的三条关键路径。 保证拥有良好的配置观察能力 自动化已经成为保障安全性与合规性关键手段,具体用例包括自动管理存储在私有注册表内的容器镜像及其安全策略,以及将自动化安全测试纳入构建或持续集成的流程当中等。Kubernetes自带一组丰富的安全相关功能,涵盖基于角色的访问控制、命名空间及其他功能。但如前文所述,盲目仰仗默认配置并不可取。Aqua Security公司战略副总裁Rani Osnat表示,“Kubernetes是一套复杂的系统,包含大量配置与选项。其中一部分可能存在安全隐患,甚至在默认状态下会造成重大风险。” 只有正确配置这些功能,我们才有可能借助容器与编排工具之力达成安全性与合规性自动化。对于这方面用例,Red Hat OpenShift等以开源项目为基础构建而成的商业平台往往会带来重要助益。Dang还指出,“这样,安全最佳实践将可以在整个Kubernetes的各个层级上自动应用——包括集群层级、命名空间层级、部署/服务层级以及pod层级等等。” 借自动化机制提高检测与策略执行能力 与很多朋友已经熟知的声明式、自动化基础设施操作方法一样,大家在安全领域也可以采取相同或者类似的操作。如上所述,这些在容器安全与Kubernetes安全当中同样不可或缺。 Dang表示,“这些环境强调以声明式API进行操作,能够在基础设施的配置期间实现安全设置,并在应用程序的构建与部署流程中始终提供安全保护。” 换言之,“即代码管理模式”将由此与安全领域展开融合。NeuVector公司CTO Gray Duan认为,“希望实现Kubernetes合规性与安全性自动化的企业,还应尽可能将安全策略即代码与行为学习(或者机器学习)结合起来。这项技术策略有助于支持安全性“左移”的思维模式,帮助我们在应用程序开发早期引入工作负载安全策略,立足整个生产过程实现环境保护。” Duan还分享了安全性与合规性领域的几个“应该”案例,一马当先的就是在运行时中自动执行安全漏洞扫描。Duan提到,“在实施Kubernetes合规性与安全性自动化时,我们需要在运行时中执行漏洞扫描——不只是扫描容器,还需要扫描主机乃至Kubernetes本身。” 第二点则是自动网络分段。事实上,网络分段在某些行业中属于必要的合规性要求,需要强制加以执行。 越来越的企业需要组织合规报告并加以管理,而自动化网络分段也开始在众多行业的合规性标准中成为主流。例如,管理支付处理的PCI DSS安全标准就要求在持卡人数据环境内外的流量之间设置网络分段和防火墙。在Duan看来,我们根本无法以手动方式调整防火墙规则,借以应对新的、不断发展的容器化环境威胁态势。“正因为如此,很多法规理所当然地要求在业务环境中执行自动化运行时扫描与合规性检查。” (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐