什麼是 Kubernetes 運行時安全性?
Kubernetes 執行時期安全性是一組保護Kubernetes上執行的容器工作負載的工具、實務和技術。
換句話說,Kubernetes運行時安全性是工作負載保護和容器安全的一個子類別。 Kubernetes 運行時安全性涉及從容器實例化到終止的安全性。 這意味著運行時安全性包括容器是否以 root 身分運行(它們不應該!)等內容,但不涵蓋容器映像掃描等主題。
Kubernetes 運行時安全挑戰與風險
由於當今 K8 上運行的應用程式類型非常多,因此容器或 Kubernetes 不存在一刀切的運行時安全風險。 然而,大多數企業都面臨一系列常見的 Kubernetes 運行時安全挑戰。
以下是與 Kubernetes 上運行時容器安全相關的四種常見安全風險:
- 權限升級:威脅參與者取得 K8s 環境的存取權限並升級到更高權限的使用者(例如 root)是典型的 Kubernetes 執行時間安全威脅。
- K8 和容器中的脆弱性:即使容器本身沒有惡意,它們通常容易受到具有已知漏洞的 CVE 的攻擊。
本機 Kubernetes 運行時安全工具
Kubernetes 提供了一組有限的本機工具和控件,可以限制運行時風險。 這些包括:
- Secrets :K8s Secrets 是儲存應用程式開發介面金鑰或密碼等資訊的資料物件。 使用 Secrets 可以幫助企業將敏感資料排除在鏡像和 Pod 規範之外。
- 存取控制器:使用 K8s 准入控制器,企業可以限制 Kubernetes 應用程式開發介面端點的修改(但不能讀取)。
- 網路策略: Kubernetes 網路政策類似傳統的 ALLOW 和 BLOCK 防火牆規則,在網路和傳輸層強制執行策略。
- 審核日誌:審核日誌提供有關叢集中發生的操作的詳細資訊。 例如,可以審核應用程式開發介面活動。 這些日誌可以分析和偵測惡意行為。
- RBAC :基於角色的存取控制(RBAC)允許管理員根據實體的角色限制 K8s 應用程式開發介面的存取。
由於原生 Kubernetes 執行時期安全工具無法直接解決即時威脅偵測等用例,因此許多企業依賴更強大的工作負載保護工具。
反映意見