云原生安全和 Kubernetes
Kubernetes 基于云原生架构,并借鉴了 CNCF 关于云原生信息安全最佳实践的建议。
继续阅读本页,以概述 Kubernetes 如何帮助您部署安全的云原生平台。
云原生信息安全
CNCF 关于云原生安全的 白皮书 定义了适用于不同*生命周期阶段*的安全控制和实践。
*开发*生命周期阶段
- 确保开发环境的完整性。
- 根据您的环境,遵循信息安全最佳实践设计应用程序。
- 将最终用户安全视为解决方案设计的一部分。
为此,您可以
- 采用一种架构,例如 零信任,以最大程度地减少攻击面,即使是内部威胁。
- 定义一个考虑安全问题的代码审查流程。
- 构建系统的*威胁模型*或识别信任边界的应用程序。使用该模型来识别风险并帮助找到处理这些风险的方法。
- 在合理的情况下,结合使用高级安全自动化,例如*模糊测试*和 安全混沌工程。
*分发*生命周期阶段
- 确保您执行的容器镜像的供应链安全。
- 确保集群和其他执行应用程序的组件的供应链安全。另一个组件的示例可能是您的云原生应用程序用于持久化的外部数据库。
为此,您可以
- 扫描容器镜像和其他工件中是否存在已知漏洞。
- 确保软件分发在传输过程中使用加密,并为软件源建立信任链。
- 采用并遵循在更新可用时更新依赖项的流程,尤其是在响应安全公告时。
- 使用数字证书等验证机制来确保供应链安全。
- 订阅提要和其他机制,以便在出现安全风险时向您发出警报。
- 限制对工件的访问。将容器镜像放置在仅允许授权客户端拉取镜像的 私有注册表 中。
*部署*生命周期阶段
确保对可以部署的内容、谁可以部署它以及可以将其部署到的位置进行适当的限制。您可以强制执行*分发*阶段的措施,例如验证容器镜像工件的加密身份。
部署 Kubernetes 时,您还为应用程序的运行时环境奠定了基础:Kubernetes 集群(或多个集群)。该 IT 基础架构必须提供更高级别期望的安全保障。
*运行时*生命周期阶段
运行时保护:访问
Kubernetes API 是使您的集群正常工作的关键。保护此 API 是提供有效集群安全的关键。
Kubernetes 文档中的其他页面更详细地介绍了如何设置访问控制的特定方面。安全检查表 有一组建议对您的集群进行的基本检查。
除此之外,保护您的集群意味着为 API 访问实现有效的 身份验证 和 授权。使用 ServiceAccounts 为工作负载和集群组件提供和管理安全身份。
Kubernetes 使用 TLS 来保护 API 流量;确保使用 TLS 部署集群(包括节点和控制平面之间的流量),并保护加密密钥。如果您将 Kubernetes 自己的 API 用于 CertificateSigningRequests,请特别注意限制那里的滥用。
运行时保护:计算
容器 提供了两件事:不同应用程序之间的隔离,以及将这些隔离的应用程序组合起来在同一台主机上运行的机制。这两个方面,隔离和聚合,意味着运行时安全涉及权衡和找到适当的平衡。
Kubernetes 依靠 容器运行时 来实际设置和运行容器。Kubernetes 项目不推荐特定的容器运行时,您应该确保您选择的运行时满足您的信息安全需求。
为了在运行时保护您的计算,您可以
对应用程序强制执行 Pod 安全标准,以帮助确保它们仅以必要的权限运行。
在您的节点上运行专门为运行容器化工作负载而设计的专用操作系统。这通常基于只读操作系统(*不可变镜像*),该操作系统仅提供运行容器所需的服务。
特定于容器的操作系统有助于隔离系统组件,并在容器逃逸的情况下减少攻击面。
定义 ResourceQuotas 以公平分配共享资源,并使用 LimitRanges 等机制来确保 Pod 指定其资源需求。
跨不同节点划分工作负载。使用 Kubernetes 本身或生态系统中的 节点隔离 机制,以确保具有不同信任上下文的 Pod 在不同的节点集上运行。
使用提供安全限制的 容器运行时。
运行时保护:存储
为了保护您的集群和在其中运行的应用程序的存储,您可以
- 将您的集群与外部存储插件集成,该插件为卷提供静态加密。
- 为 API 对象启用 静态加密。
- 使用备份保护数据持久性。验证您是否可以在需要时恢复它们。
- 对集群节点与其依赖的任何网络存储之间的连接进行身份验证。
- 在您自己的应用程序中实现数据加密。
对于加密密钥,在专用硬件中生成这些密钥可以最大程度地降低泄露风险。硬件安全模块可以让您执行加密操作,而不会允许安全密钥被复制到其他地方。
网络和安全
您还应该考虑网络安全措施,例如 NetworkPolicy 或 服务网格。Kubernetes 的一些网络插件使用虚拟专用网络 (VPN) 覆盖等技术为您的集群网络提供加密。根据设计,Kubernetes 允许您为集群使用自己的网络插件(如果您使用托管 Kubernetes,则管理集群的个人或组织可能已经为您选择了网络插件)。
您选择的网络插件及其集成方式会对传输中信息的安全性产生重大影响。
可观测性和运行时安全
Kubernetes 允许您使用额外的工具扩展集群。您可以设置第三方解决方案来帮助您监控或排除应用程序及其运行集群的故障。您还可以获得 Kubernetes 本身内置的一些基本可观测性功能。在容器中运行的代码可以生成日志、发布指标或提供其他可观测性数据;在部署时,您需要确保您的集群在那里提供适当级别的保护。
如果您设置了指标仪表板或类似的东西,请查看将数据填充到该仪表板的组件链以及仪表板本身。确保整个链条的设计具有足够的弹性和足够的完整性保护,即使在集群可能降级的事件期间,您也可以依赖它。
在适当的情况下,在 Kubernetes 本身级别以下部署安全措施,例如加密测量的引导或经过身份验证的时间分发(这有助于确保日志和审计记录的保真度)。
对于高保证环境,请部署加密保护以确保日志既防篡改又保密。
下一步
云原生安全
- CNCF 关于云原生安全的 白皮书。
- CNCF 关于保护软件供应链的良好实践的 白皮书。
- 修复 Kubernetes 集群混乱:从内核理解安全 (FOSDEM 2020)
- Kubernetes 安全最佳实践 (Kubernetes 论坛首尔 2019)
- 迈向开箱即用的可测量引导 (Linux 安全峰会 2016)