Den kompletta guiden till Kubernetes-säkerhet

De flesta diskussioner om Kubernetes®-säkerhet handlar om svårigheten att säkra ett kluster. Det är ganska svårt att skydda varje lager i ett Kubernetes-system på grund av att Kubernetes bara erbjuder en handfull inbyggda säkerhetsalternativ. Det är sant att Kubernetes har få inbyggda säkerhetslösningar, och att skydda Kubernetes innebär att man åtgärdar flera typer av möjliga sårbarheter på flera infrastrukturnivåer.

Detta innebär dock inte att du ska se Kubernetes säkerhet som omöjligt svår. I verkligheten skapar det faktum att Kubernetes är en så stor plattform med så många gränssnitt en möjlighet: det gör det enkelt att utveckla en automatiserad, systematisk uppsättning operationer som införlivar säkerhet i Kubernetes bygg- och distributionsprocess. Resultatet är en tätt integrerad säkerhetspolicy som dämpar attacker på alla nivåer och lager i din stack.

Den här e-boken beskriver hur du utvecklar en säkerhetsstrategi som förbättrar snarare än hindrar dina andra Kubernetes-baserade verksamheter. Den identifierar Kubernetes säkerhetsutmaningar från noden och upp och pekar ut specifika lösningar för att hantera var och en av dem, med fokus på automatiserade, skalbara tillvägagångssätt som kommer att hålla Kubernetes-baserade arbetsbelastningar säkra, oavsett klusterstorlek eller infrastrukturtyp (lokalt, offentligt moln) , hanterad tjänst).

Kubernetes är ett flerdimensionellt odjur

Först och främst är det viktigt att inse att Kubernetes är en komplicerad plattform som består av mer än ett halvdussin komponenter. Den innehåller en API-server för att underlätta kommunikationen mellan klusterkomponenter, en schemaläggare för att hantera distributionen av arbetsbelastningar och kontroller för att hantera tillståndet för Kubernetes själv. Den består också av en agent som verkar på varje nod eller server inom ett kluster, samt ett nyckel-värdelager som innehåller klusterkonfigurationsdata.

Inbyggda Kubernetes säkerhetsskydd

Kubernetes säkerhet kompliceras ytterligare av det faktum att den, även om den har vissa inbyggda säkerhetsåtgärder, inte kan säkra sig själv utan hjälp av ytterligare teknologier. Kubernetes gör det möjligt för administratörer att bygga rollbaserade åtkomstkontrollregler (RBAC) för att skydda klusterresurser mot oönskad åtkomst. Dessutom kan de upprätta podsäkerhetsregler och nätverkspolicyer för att förbjuda specifika former av pod- och nätverksmissbruk.

För att lindra avbrottet som orsakas av en angripare som äventyrar en del av klustret, kan de tillämpa resursbegränsningar. Med resursbegränsningar på plats kommer angriparen inte att kunna utföra en överbelastningsanfall genom att svälta ut resten av klustret med tillräckliga resurser för att fungera (naturligtvis förutsatt att intrånget inte sprider sig utanför klustrets del var den har sitt ursprung).

Integrerade utvecklingsmiljöer

Integrerade utvecklingsmiljöer (IDE) är de verktyg som ofta används av utvecklare för att skapa applikationskällkod. En IDE bör vara utgångspunkten för sårbarhetsskanning som verktyget som initierar applikationsdistributionsprocessen. Majoriteten av IDE:er kan interagera med en rad tredjeparts källkodssårbarhetsskannrar för att identifiera möjliga säkerhetsbrister i applikationskoden.

Integrativ integration

Teknik för kontinuerlig integration (CI) är värd för källkod och omvandlar den till Kubernetes-deployerbara binärer. De representerar en ytterligare sårbarhetsskanningsfas för kod. CI-servrar är kompatibla med en rad sårbarhetsskannrar, liknande IDE:er.

Konfigurationshantering

För närvarande är majoriteten av Kubernetes-applikationsbyggen och -distributionen beroende av infrastruktur som kod (IaC) och YAML-filer för automatiserad, policybaserad konfigurationshantering.

Ladda ner Prisma Clouds whitepaper för att lära dig mer om The Complete Guide to Kubernetes Security only on Whitepapers Online.