共计 1618 个字符,预计需要花费 5 分钟才能阅读完成。
作者:Pushkar Joglekar
在过来的几年中,一个关注平安的小型社区始终在致力工作,以加深咱们对平安的了解,并给出了一直倒退的云原生基础设施和相应的迭代部署实际。为了可能与社区的其余成员共享这一常识,由 Emily Fox 领导的 CNCF SIG Security 的成员(一个向 CNCF TOC 回报的小组,他们也是 Kubernetes SIG Security 的敌人)在白皮书中概述了整体的云原生平安问题和最佳实际。在来自世界各地 35 个成员的 1200 多个评论、批改和探讨之后,咱们很骄傲地与大家分享云原生平安白皮书 v1.0,它是企业、金融和医疗保健行业、学术界、政府和非营利组织的平安领导必备的浏览资料。
白皮书试图不关注任何特定的云原生我的项目。相同,其目标是将安全性建模并注入云原生利用生命周期的四个逻辑阶段:开发、散发、部署和运行时。
Kubernetes 原生安全控制
当应用 Kubernetes 作为工作负载协调器时,这个版本的白皮书举荐的一些安全控制如下:
- Pod 安全策略:为整个集群的“起码特权”工作负载实现一个实在源
- 资源申请和限度:对共享资源(如内存和 CPU)利用申请(软束缚)和限度(硬束缚)
- 审计日志剖析:启用 Kubernetes API 审计和筛选与平安相干的事件
- 管制立体身份验证和信赖的证书根:启用互相 TLS 身份验证,应用可信的 CA 在集群内进行通信
- 机密治理:与内置或内部机密存储集成
云原生互补安全控制
Kubernetes 直接参与部署阶段,较少参加运行时阶段。为了使 Kubernetes 中的工作负载“默认状况下是平安的”,必须确保安全地开发和散发工件。在云原生应用程序生命周期的所有阶段,存在一些针对 Kubernetes 编排的工作负载的补充性安全控制,包含但不限于:
-
开发:
- 镜像签名与验证
- 镜像破绽扫描器
-
散发:
- 部署前查看是否存在适度特权
- 启用可察看性和日志记录
-
部署:
- 应用服务网格进行工作负载身份验证和受权
- 通过网络插件为工作负载间通信强制执行“默认回绝”网络策略
-
运行时:
- 为工作负载部署平安监督代理
- 应用 SELinux、AppArmor 等隔离在同一节点上运行的应用程序。
- 依据公认的平安基线扫描节点、工作负载和协调器的配置
先理解,后平安
云原生形式(包含容器)为其用户提供了微小的平安劣势:不变性、模块化、更快的降级和跨环境的统一状态。意识到“做事形式”的这种根本性变动,促使咱们从云原生的角度来对待平安问题。对于白皮书作者来说不言而喻的一件事是,如果你不理解手头的工具、模式和框架,那么就如何以及哪些在云原生生态系统中进行爱护就很难做出更理智的决定(除了理解本人的重要资产之外)。因而,对于那些想要成为合作伙伴而不是在操作、产品开发和合规方面为敌人看门人的平安从业者来说,让咱们尝试学习更多常识以便更好地确保安全。
咱们举荐遵循这 7 步 R.U.N.T.I.M.E. 门路 来开始云原生平安:
- 浏览(Run)白皮书和其中任何相干的资料
- 理解(Understand)环境中的挑战和限度
- 留神(Note)利用于环境的内容和控件
- 和你的伙伴议论(Talk)你的察看
- 让你的领导参加(Involve)进来,寻求帮忙
- 基于现有的和缺失的安全控制,制作(Make)一个危险概要
- 在适当的中央,破费(Expend)工夫、金钱和资源来改善平安情况并升高危险。
鸣谢
感激 Emily Fox、Tim Bannister(The Scale Factory)、Chase Pettet(Mirantis)和 Wayne Haber(GitLab)为这篇博客提供的精彩倡议。
点击浏览网站原文。
CNCF (Cloud Native Computing Foundation)成立于 2015 年 12 月,隶属于 Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培养和保护一个厂商中立的开源生态系统,来推广云原生技术。咱们通过将最前沿的模式民主化,让这些翻新为公众所用。扫描二维码关注 CNCF 微信公众号。