时至今日,基于容器、微服务、云原生等技术驱动的数字化转型和应用现代化已成为大势所趋,尤其Kubernetes与容器生态正在强势发展,几乎每个月都有新功能上线,Kubernetes使得微服务与容器等技术更能满足企业生产和应用现代化等需求。对于数字化企业来说,应用就是生产力。应用和IT现代化,决定了企业创新的速度。越来越多的企业正在将IT架构和应用现代化列入其数字转型计划中,然而与此同时,围绕Kubernetes的安全问题也日益凸显。
Kubernetes最初源于谷歌内部的Borg,提供了面向应用的容器集群部署和管理系统。Kubernetes的目标旨在消除编排物理/虚拟计算,网络和存储基础设施的负担,并使应用程序运营商和开发人员完全将重点放在以容器为中心的原语上进行自助运营。2014年,Google开源了Kubernetes项目。Kubernetes一词源于希腊语,意为“舵手”或“飞行员”,在庞大的生态系统支持下,Kubernetes在近年来取得了快速的成长。在2018年,Kubernetes就已成为容器编排领域事实上的标准。
Gartner预测,到2022年,预计将有75%的全球化企业在生产中使用云原生的容器化应用。不过,任何创新都是有成本的。Dynatrace委托研究机构Vanson Bourne进行的一项调查中显示,86%的企业已采用云原生技术,其中包括微服务、容器及Kubernetes,以加快技术创新、获得更为丰硕的业务成果。但也有63%的受访者表示,企业云环境的复杂性已超出了人类能够管理的极限。74%的CIO担忧,云原生技术的广泛使用会大幅增加在“确保正常运转”上所投入的人工成本和时间,69%的受访者正在寻求全新的运营方式,他们认为“Kubernetes的兴起”增加了IT环境复杂性,使其难以通过纯手动方式管理。
根据CNCF的年度调查显示,绝大多数企业(83%)在生产环境中运行了Kubernetes。Unit 42监测到许多专门用于攻击Kubernetes的恶意软件。要想确保云上工作的安全性,就需要企业、云安全提供商和整个网络安全行业共同协作,解决漏洞和错误配置等问题。“由于Kubernetes在容器自动化管理工具市场中已经占据主导地位,因此它的安全漏洞的发现也客观上影响了整个标准,虽然后来谷歌发布了一些补丁去修复漏洞,但很多基于它开发出来的商业化容器管理平台或工具仍然存在安全隐患。”Palo Alto Networks(派拓网络)中国区大客户技术总监张晨说。
Palo Alto Networks(派拓网络)中国区大客户技术总监张晨
去年,派拓网络的威胁研究与咨询团队Unit 42曾在Google Kubernetes Engine(GKE)中发现多个漏洞和攻击技术。这些威胁不仅影响了Google Cloud用于管理Kubernetes集群的一款产品GKE Autopilot,同时甚至影响到了GKE标准。Unit 42发现GKE Autopilot漏洞能够让攻击者升级权限,并接管整个集群。攻击者可以隐秘地窃取信息,部署恶意软件,实施加密挖矿攻击,以及破坏工作负载。谷歌随后解决了这些问题,并在GKE中部署了大量补丁保护集群。到目前为止,Unit 42未发现这些漏洞被广泛利用。
早在数年前,派拓网络就在帮助客户的业务向公有云、混合云迁移,并利用Prisma Cloud协助其保障混合云架构的安全性。Prisma Cloud支持主流的公有云服务商,提供了完善的容器化技术堆栈和应用组件的支持,能够无缝集成到容器的开发、部署、运行等各个环节,提供按需定制的解决方案。过去4-5年的时间内,派拓网络在公有云解决方案上大力投入,不断并购新的技术融入到Prisma Cloud平台上。截至目前,Prisma Cloud已获得了77%的财富100强企业信赖,涵盖金融、科技、互联网、工业、电信等领域,全球客户近3000家。
张晨认为,企业在转向混合云的过程中要关注四个方面,首先要了解上云之后会面对怎样的安全合规问题、安全漏洞,以及可能发生的配置错误,这就使得企业要具备可见性的能力,同时随着更多的企业选择新的IT架构,像容器内部的问题也应得到足够的重视,争取提早发现。在客户选择公有云时,往往会选择多云部署,此时就要考虑到业务的连续性,避免单点故障,能够在复杂的架构下通过深度检测发现潜在风险。在容器环境进行开发时,开发和代码运维团队要与安全团队协作,将必要的安全机制在开发阶段就融入到安全检测中,做到安全前置(左移),满足基础架构即代码(Infrastructure as a Code)等需求。目前,派拓网络可以为基础架构即代码的团队提供支持主流框架的编写工具和平台,以及代码阶段的扫描,进行配置和合规的安全检查,或者是对第三方软件供应链的扫描等等。
在容器化的云原生环境中,Prisma Cloud还具备态势感知能力,可以帮助客户自动扫描其在公有云上的应用配置是否有错误或缺失,保障上云之后的合规性。运行过程中,派拓网络的云原生容器化平台可以在镜像的制作、部署、运行等全生命周期确保安全稳定。上云之后,Prisma Cloud会对身份和实施进行微分段安全,查看容器内部之间的网络流量是否存在异常行为。
随着Kubernetes技术的不断进步,目前简单的错误配置和漏洞已经越来越少见,而攻击者也在不断升级攻击行为。研究发现,即使是Kubernetes中较为细微的问题,也可能成为攻击的切入点。GKE被攻击的事件表明,即使是像谷歌这样具备领先技术能力的厂商,在对Kubernetes进行二次包装的时候同样会带来更多的安全风险,导致整个集群被攻破。
在Palo Alto Networks(派拓网络)Prisma Cloud方案架构师李国庆看来,针对Kubernetes的威胁正在从简单的技术攻击事态演变为高级的Kubernetes定制攻击,“针对这种变化,如果只是保护集群的外围边缘,肯定是不够的。我们鼓励企业采用检测和预防后续攻击这样的安全解决方案,来制定相关的安全审计策略。就Kubernetes和类似的自动化工具来说,我们建议,无论它所在的公有云配置本身,还是控制的主机节点,或是软件安全的配置,亦或是访问许可、漏洞,以及第三方软件提供商,对其进行二次包装等各个方面,要进行全局统一策略下的安全建设、检测和响应。”
可以说,Prisma Cloud是一个跨主机、虚拟机、容器、云平台、服务器的安全解决方案,能够满足企业在全生命周期的安全需求,包括贯穿始终的漏洞和配置扫描、在各个阶段提供代码扫描、镜像扫描、运营式防护等能力,以及内置的四层防火墙、东西向防火墙、七层WAF等等。访问Kubernetes的时候,可以通过准入控制进行相应的策略制定,事件之后,派拓网络还会确保Kubernetes调用的每一项活动都受到过滤和审计。
在API层面,派拓网络提供了对Kubernetes API和API Server的防护措施,提供了分布式的防火墙内嵌在Prisma Cloud中,来进行相关的管理和安全操作,采用分布到每个节点的安全代理对WAF和API进行防护。无论是对API的规范、参数的合法性和边界,还是调用方式,都可以基于需求和响应进行保护。通过OPA运行,对于Kubernetes和API server的任何调用,派拓网络都能进行相关防御或审计操作,加上对事件的审计和准入控制,以及对Kubernetes版本的CVE、CS的检查,构成了确保Kubernetes全流程安全的完整链条。
“企业应该考虑以零信任作为指导思想,以这样的安全规划理念重新审视IT架构的不足和问题,然后按照重要紧急、重要非紧急的方式将这些问题排序,梳理出最重要的工作任务。从数据安全的角度,我们在关键网络节点和每一个运行个体上,要去引入具备深度检测能力的解决方案,以及加强自动化安全运维的能力。此外,很多企业还会引入具备安全威胁感知和自动化管理能力的综合安全管理平台,提升对未知威胁和重要攻击事件的识别、定位和处置能力。”张晨谈到,“随着全球互联互通,企业之间的业务单元并购、交织越来越频繁,第三方供应链带来的安全漏洞和风险会日益凸出。很多行业客户都开始进行安全方案的重新审视,只有这样才能适应新的IT架构和环境,随之产生的问题也要用新的方法来应对。”
本文属于原创文章,如若转载,请注明来源:Prisma Cloud:构建Kubernetes的全生命周期防护体系http://safe.zol.com.cn/790/7907156.html
