云原生安全与 Kubernetes

保持云原生工作负载安全的概念。

Kubernetes 基于云原生架构,并借鉴了CNCF关于云原生信息安全最佳实践的建议。

继续阅读本文,了解 Kubernetes 如何帮助您部署安全的云原生平台。

云原生信息安全

CNCF 关于云原生安全的白皮书定义了适用于不同生命周期阶段的安全控制和实践。

开发生命周期阶段

  • 确保开发环境的完整性。
  • 根据信息安全最佳实践设计应用程序,适合您的环境。
  • 将最终用户安全纳入解决方案设计。

为了实现这一点,您可以

  1. 采用诸如零信任之类的架构,最大限度地减少攻击面,即使针对内部威胁也是如此。
  2. 定义一个考虑安全问题的代码审查流程。
  3. 建立您的系统或应用程序的威胁模型,识别信任边界。使用该模型来识别风险并帮助找到处理这些风险的方法。
  4. 在合理的情况下,纳入高级安全自动化,例如模糊测试安全混沌工程

分发生命周期阶段

  • 确保您执行的容器映像的供应链安全。
  • 确保为执行应用程序的集群和其他组件提供供应链安全。另一个组件的示例可能是您的云原生应用程序用于持久化的外部数据库。

为了实现这一点,您可以

  1. 扫描容器镜像和其他工件以查找已知漏洞。
  2. 确保软件分发使用传输中的加密,并为软件源提供信任链。
  3. 采用并遵循流程,在更新可用时更新依赖项,特别是在响应安全公告时。
  4. 使用数字证书等验证机制来确保供应链。
  5. 订阅提要和其他机制,以提醒您注意安全风险。
  6. 限制对工件的访问。将容器镜像放置在私有注册表中,该注册表只允许授权客户端拉取镜像。

部署生命周期阶段

确保对可以部署的内容、谁可以部署以及部署到哪里进行适当的限制。您可以从分发阶段强制执行措施,例如验证容器镜像工件的加密身份。

当您部署 Kubernetes 时,您还为应用程序的运行时环境奠定了基础:Kubernetes 集群(或多个集群)。该 IT 基础设施必须提供更高层期望的安全保证。

运行时生命周期阶段

运行时阶段包括三个关键领域:计算访问存储

运行时保护:访问

Kubernetes API 是使您的集群正常运行的原因。保护此 API 是提供有效集群安全的关键。

Kubernetes 文档中的其他页面包含有关如何设置访问控制特定方面的更多详细信息。该安全清单包含一组建议的基本检查,适用于您的集群。

除此之外,保护您的集群意味着为 API 访问实施有效的身份验证授权。使用ServiceAccounts为工作负载和集群组件提供和管理安全身份。

Kubernetes 使用 TLS 来保护 API 流量;请确保使用 TLS 部署集群(包括节点和控制平面之间的流量),并保护加密密钥。如果您使用 Kubernetes 自己的 API 进行证书签名请求,请特别注意限制那里的滥用。

运行时保护:计算

容器提供两件事:不同应用程序之间的隔离,以及将这些隔离的应用程序组合起来在同一主机上运行的机制。这两个方面,隔离和聚合,意味着运行时安全涉及权衡,并且需要找到适当的平衡。

Kubernetes 依赖容器运行时来实际设置和运行容器。Kubernetes 项目不推荐特定的容器运行时,您应该确保您选择的运行时满足您的信息安全需求。

要保护运行时的计算,您可以

  1. 为应用程序强制执行Pod 安全标准,以帮助确保它们仅以必要的权限运行。

  2. 在您的节点上运行专门用于运行容器化工作负载的操作系统。这通常基于只读操作系统(不可变镜像),它只提供运行容器必不可少的服务。

    特定于容器的操作系统有助于隔离系统组件,并在容器逃逸的情况下呈现更小的攻击面。

  3. 定义资源配额以公平地分配共享资源,并使用诸如限制范围之类的机制来确保 Pod 指定其资源需求。

  4. 跨不同节点划分工作负载。使用节点隔离机制(来自 Kubernetes 本身或生态系统),以确保具有不同信任上下文的 Pod 运行在不同的节点集上。

  5. 使用提供安全限制的容器运行时

  6. 在 Linux 节点上,使用 Linux 安全模块,例如AppArmorseccomp

运行时保护:存储

要保护集群的存储以及在其中运行的应用程序,您可以

  1. 将您的集群与提供卷静态加密的外部存储插件集成。
  2. 为 API 对象启用静态加密
  3. 使用备份来保护数据持久性。验证您可以在需要时还原这些数据。
  4. 对集群节点与其依赖的任何网络存储之间的连接进行身份验证。
  5. 在您自己的应用程序中实现数据加密。

对于加密密钥,在专门的硬件中生成这些密钥可以最大限度地防止泄露风险。硬件安全模块可以让您执行加密操作,而无需将安全密钥复制到其他地方。

网络和安全

您还应该考虑网络安全措施,例如NetworkPolicy服务网格。一些针对 Kubernetes 的网络插件使用虚拟专用网络 (VPN) 覆盖等技术为您的集群网络提供加密。根据设计,Kubernetes 允许您为您的集群使用自己的网络插件(如果您使用托管 Kubernetes,管理您的集群的人员或组织可能已经为您选择了一个网络插件)。

您选择的网络插件及其集成方式会对传输中信息的安全性产生重大影响。

可观察性和运行时安全

Kubernetes 允许您使用额外的工具扩展您的集群。您可以设置第三方解决方案来帮助您监控或排查应用程序及其运行的集群。您还可以在 Kubernetes 本身中获得一些基本的可观察性功能。在容器中运行的代码可以生成日志、发布指标或提供其他可观察性数据;在部署时,您需要确保您的集群在那里提供适当级别的保护。

如果您设置了指标仪表板或类似的东西,请审查将数据填充到该仪表板的组件链,以及仪表板本身。确保整个链的设计具有足够的弹性和足够的完整性保护,以便您即使在集群可能降级的事件期间也能依赖它。

在适当的情况下,在 Kubernetes 本身级别以下部署安全措施,例如加密测量启动或时间认证分发(这有助于确保日志和审计记录的保真度)。

对于高保证环境,部署加密保护以确保日志既防篡改又保密。

下一步

云原生安全

Kubernetes 和信息安全

最后修改于 2024 年 3 月 7 日下午 4:54 PST:AppArmor v1.30 文档更新 (4f11f83a45)