Kubernetes 安全最佳实践:保护您的秘密

Kubernetes 是一个可用于微服务的开源容器编排平台。当我们想要部署容器化应用程序、自动化管理和扩展应用程序时,Kubernetes 非常有用。

在容器中运行单个微服务而不是在同一虚拟机中运行多个进程几乎总是更安全。每当我们在 Kubernetes 中启动任何 pod 时,该 pod 都会托管在节点内。Kubernetes 中有两种类型的节点可用。第一个是Master节点,第二个是Worker节点。应用程序代码在集群内部的工作节点中运行。工作节点托管 Pod 并将资源报告发送给主节点。顾名思义,主节点是所有工作节点的主节点,工作节点是主节点的从节点。Master节点和Worker节点共同组成一个集群。

什么是 Kubernetes 安全性?

Kubernetes主要搞云环境,包括集群、容器、云和代码。本质上,代码、集群和容器的结合关系到 Kubernetes 的安全性。因此,特性包括云环境中的容器安全、集群安全、访问控制和应用安全,围绕这些特性构建 Kubernetes 集群安全。

经常扫描整个系统以识别漏洞和错误配置,以立即确保系统安全。此外,Kubernetes API 和 Pod 容器安全性是 Kubernetes 安全性的重要方面,这对于商业安全解决方案来说是必需的,使 Kubernetes 具有弹性和可扩展性,并包含有价值的信息。

Kubernetes 安全吗?

众所周知,组织正在向云迈进,这里的云指的是 Kubernetes。Kubernetes 在行业中的使用正在增加。根据云原生计算基金会 (CNCF) 的最新年度调查,83% 的组织使用 Kubernetes。在这 83% 的组织中,23% 的组织使用超过 11 个 Kubernetes 集群进行生产。

随着 Kubernetes 使用的增加,与 Kubernetes 集群相关的安全问题和担忧也迅速增加。红帽企业对 500 名 DevOps 专业人员进行了调查,以检查 Kubernetes 的安全性和采用情况。该调查得出以下结论:

  • 大约 94% 的 DevOps 专业人员至少报告过一起安全事件。
  • 由于安全问题,其中 54% 推迟了应用程序的发布。
  • 大约 59% 的人表示,安全性是使用 Kubernetes 集群最大的担忧。

Kubernetes 安全最佳实践:4C 安全模型

在为 Kubernetes 安全创建纵深防御策略时,必须安装各种安全措施。即使是相同的方法也被云原生安全性所遵循和推荐。云原生系统将其安全态势和技术分为四层。以下是这四层:

4C 安全模型分别代表云、集群、容器和代码。从开发阶段开始到部署阶段结束,我们上面提到的所有四个层都为所涉及的所有步骤提供了安全性。

使用这个 4C 安全模型,我们将分别讨论这四个层的 Kubernetes 安全最佳实践。让我们从云层开始一一讨论 Kubernetes 安全最佳实践。

云层代表服务器基础设施。当我们在任何云服务提供商(CSP)上设置服务器时,都会涉及到各种服务。云服务提供商处理管理操作系统、平台和网络等服务,但消费者仍然负责保护和监控数据。

防火墙和加密

“Secrets”对象在 Kubernetes 中用于存储或保存敏感数据或信息。这里,敏感数据可以是任何用户名、密码、令牌、密钥和其他必要数据。秘密可以帮助我们减少潜在的攻击面。Pod 可以访问私有数据,因为秘密为 Pod 生命周期提供了灵活性。为了网络安全,我们需要监控网络流量。防火墙还可以识别潜在的不安全流量。对秘密资源进行加密至关重要,因此 Kubernetes 支持加密。

需要注意的一件事是 etcd 配置文件的加密。这很重要,因为该文件在 Kubernetes 的 API 服务器级别以简单的纯文本格式存储。加密文件的好处是,即使攻击者获得了对 etcd 文件的读写访问权限,他也无法理解任何内容。要解密 etcd 文件,需要加密密钥来加密该文件。只有 API 服务器中存储有加密密钥。

建议启用防火墙规则、监控活动网络流量并仅启用本地端口。在控制平面,也称为主节点,必须开放的端口有6443、2379、2380、10250、8472等一些端口。对于工作节点,也有一些端口。分别是 10250、10255 和 8472。

阻止访问 Kube API 服务器

Kubernetes API 访问控制过程涉及三个步骤。以下是这三个步骤:

  • 请求访问已验证。
  • 真实性有保证。
  • 传递到准入控制进行访问。

在身份验证操作开始之前,将适当检查 TLS 连接和网络访问控制设置。认证过程有时可能会很复杂或复杂。

为了控制平面和 Kubelet 之间的通信、与控制平面的内部通信或与 API 服务器的连接,只能使用 TLS 连接。我们可以使用 Kube-API 服务器命令行将 TLS 证书和 TLS 私钥文件发送到 API 服务器。

出于通信目的,Kubernetes API 使用两个 HTTP 端口。第一个端口是本地端口,第二个端口是安全端口。本地端口不执行任何请求的身份验证和授权,因为它不需要任何传输层身份验证提供程序或安全连接。因此,确保本地端口在 Kubernetes 集群外部无法访问或开放就变得更加关键。

此外,由于存在安全漏洞的可能性,服务帐户应尽快接受全面审核,特别是当它们链接到用于专门 Kubernetes 管理任务的特定命名空间和服务帐户令牌时。每个应用程序都应该有其唯一的服务帐户,而不是使用默认的服务帐户。

本节将详细讨论保持 Kubernetes 集群安全的方法。让我们分别简要地研究一下所有的方法。

应用最小访问权限

Kubernetes 为其元素提供了一些基本的安全性,例如授权。因此,要访问集群组件,您需要登录,以便您访问集群组件或集群节点的请求获得授权。在这里,我们可以使用基于角色的访问控制(RBAC)。使用 RBAC,我们可以声明哪个实体可以使用 Kubernetes API 在特定资源上执行特定活动。它是 Kubernetes API 身份验证限制访问的最佳、最有效的方法之一。还建议启用审核日志记录以提高安全性。

Kubernetes API

为了做出任何授权决策,RBAC 授权使用rbac.authorization.k8s.io API 组。它可以根据需要进行策略更改。RBAC 激活涉及在将权限标志设置为包含 RBAC 的逗号分隔列表后重新启动 API 服务器。

kube-apiserver --authorization-mode=Example,RBAC --other-options --more-options

请考虑以下示例。它只是提供 pod 供读取,作为“默认”命名空间中的角色。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata: 
 namespace: default  name: read-user
rules:- apiGroups: [""]  resources: ["pods"]  verbs: ["get", "watch", "list"]
使用准入控制器和网络策略

在 Kubernetes 容器编排系统中,准入控制器插件强制执行集群的治理和使用。准入控制器可以捕获经过身份验证的 API 请求并更改或拒绝它们。因此,他们也被称为守门人。

准入控制器可以通过在整个集群中强制执行适当的 Pod 安全策略和状态来提高安全性。内置 Pod 安全策略准入控制器就是这种情况的一个合适示例。除此之外,它还可以用来阻止容器以 root 身份运行或保证根文件系统始终以只读方式安装。

容器

在集群环境中,容器使用容器运行时引擎运行。Kubernetes 最常见的容器运行时环境是 Docker。它还附带了各种映像,程序员可以使用它们来设置从 Linux 到 Nginx 服务器的任何内容。

使用经过验证的图像来避免不需要的向量获得访问权限

为了避免易受攻击的镜像,必须扫描所有容器镜像,并且只允许那些遵循或符合组织策略的容器镜像。这是因为组织更容易受到此类安全风险的影响。众所周知,大部分代码通常取自开源项目,因此扫描图像是否存在安全漏洞并遵循组织制定的网络策略变得更加重要。对于所有容器镜像,容器注册表是中央存储库。您应该避免在容器映像本身中加载不需要的内核模块。

私有注册表应用作容器注册表,而不是公共注册表,因为公共注册表的安全性低于远程注册表。只有通过组织的网络策略验证的图像才必须存储在私有注册表中。这样,我们可以通过减少易受攻击的映像的使用来减少组织操作系统的攻击面。

扫描图像的过程也可以安装在CI管道中。这里,CI代表持续集成。让我们看看什么是图像扫描。在此过程中,系统会扫描映像中的 CVE、漏洞或不良做法。由于它安装在 CI/CD 管道中,因此漏洞无法到达注册表。它还可以防止由于使用第三方图像而导致的管道漏洞。

限制应用程序权限

支持在运行容器时使用 root 权限的最有力论据之一是需要防止权限升级。root 用户可以在系统上运行不同的命令,就像 root 用户可以在容器系统中运行任何命令一样。对于 root 用户来说命令执行变得非常容易。这给不良行为者带来了困难,即使他们以某种方式获得了访问权限。

软件包的安装方法、用户的创建、服务的启动以及其他此类活动都需要进行充分的审查。这可能会给应用程序开发人员带来不同的挑战。我们还应该避免在虚拟机上以 root 用户身份运行应用程序,以防止安全风险。容器也会发生同样的情况。除 root 之外的任何其他用户都不应具有写入权限。

如果容器被破坏,根用户将有权访问并能够在底层主机上运行任何操作系统命令,就像以根用户身份登录一样。这会带来危险,包括:-

  • 可以访问文件系统挂载
  • 还可以访问其他云资源
  • 访问用于连接其他资源的凭据。(我们应该使用密码管理器来避免这种情况)
  • 恶意软件可以安装在主机操作系统上。

代码

尽管我们可能在容器中运行各种应用程序,但有时我们将代码层称为应用程序安全性。此外,企业最能控制的是传输层安全。由于您的应用程序及其关联的数据库通常对互联网开放,因此如果所有其他组件都受到保护,攻击者将集中尝试攻击系统的这一部分。

扫描漏洞

大多数应用程序软件本质上依赖于库、其他第三方组件和开源包。因此,其中任何一个的漏洞肯定会影响整体性能。因此,您当前使用的程序很可能包含漏洞。

实施 Kubernetes 安全最佳实践

在本节中,我们将讨论 Kubernetes 安全最佳实践在不同领域的实施。

资源管理

为了执行容器,每个 Pod 都可以使用各种资源,包括内存和 CPU。因此,声明 Pod 时需要指定每个容器必须分配多少资源。

安全上下文

容器和 Pod 具有安全上下文,解释它们的权限和访问控制设置。自主访问控制 (DAC) 需要根据用户 ID(容器的基本术语)授权渗透某个项目。

环境安全更新

当容器承受各种开源软件和其他软件时,有可能稍后发现安全漏洞。最终,跟上软件更新并扫描图像以查看是否发现并修补了任何漏洞至关重要。此外,还可以使用 Kubernetes 的滚动更新功能升级到平台上的最新版本,从而改进正在运行的应用程序的安全工具。

左移方法

Kubernetes 在设计时不会立即将网络策略应用到 pod。包含 Pod 的容器几乎是不可更改的,这意味着它们会被调度。或者,当它们不可用时,它们会被重新部署和销毁。

因此,通过左移测试可以快速识别和解决容器生命周期中的缺陷,从而更有效地管理容器。

Kubernetes 中如何处理安全性?

Kubernetes 中的安全性是通过 RBAC(基于角色的访问控制)、网络策略、容器运行时安全性以及定期更新来解决漏洞等功能进行管理的。

Kubernetes 存在安全风险吗?

Kubernetes 本身并不存在安全风险,但配置错误、网络访问和控制不足以及部署不当可能会引入安全漏洞。

如何保护 Kubernetes 集群的安全?

为了保护 Kubernetes 集群的安全,需要实施强大的访问控制、启用审核日志记录、频繁轮换基础设施凭证、使用网络策略、采用容器运行时安全性并定期进行安全审核。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/187475.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

键盘敲入一个字母,操作系统发生了什么?

一、设备控制器 我们的电脑设备可以接非常多的输入输出设备,比如鼠标键盘网卡硬盘打印机等,每个设备的用法和功能都不相同,那操作系统是如何把这些输入输出设备统一管理的呢? 为了屏蔽设备之间的差异,每个设备都有一…

Zookeeper从零入门笔记

Zookeeper从零入门笔记 一、入门1. 概述2. 特点3. 数据结构4. 应用场景 二、本地1.安装2. 参数解读 三、集群操作3.1.1 集群安装3.2 选举机制1. 第一次启动2. 非第一次启动 3.3 ZK集群启动停止脚本3.4 客户端命令行操作3.2.1 命令行语法3.2.2 节点类型(持久/短暂/有…

六:Day01_Spring Boot01

一、Spring Boot简介 1. 概念简介 Spring Boot是Spring公司的一个顶级项目,和Spring Framework是一个级别的。 Spring Boot实际上是利用Spring Framework 4 自动配置特性完成。编写项目时不需要编写xml文件。 2. 启动器介绍 Spring Boot的启动器实际上就是一个依赖…

热部署怎么部署

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言操作流程:在这里插入图片描述 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a832d83c091742eda9d9325931a89df4.png) 这里的跟上面的…

WPF实战项目十九(客户端):修改RestSharp的引用

修改HttpRestClient,更新RestSharp到110.2.0,因为106版本和110版本的代码不一样,所以需要修改下代码 using Newtonsoft.Json; using RestSharp; using System; using System.Threading.Tasks; using WPFProjectShared;namespace WPFProject.S…

算法通关村第十八关青铜挑战——透析回溯的模板

大家好,我是怒码少年小码。 回溯是最重要的算法思想之一,主要解决一些暴力枚举也搞不定的问题(组合、子集、分割、排列、棋盘等等)。性能并不高,但是哪些暴力枚举都无法ko的问题能解出来就可以了🤣。 这一…

BUUCTF [GXYCTF2019]BabySQli 1 详解!(MD5与SQL之间的碰撞)

题目环境burp抓包 随便输入值 repeater放包 在注释那里发现某种编码 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 看着像是base编码格式 通过测试发现是套加密(二次加密) 首先使用base32对此编码…

项目11:豆瓣首页-页脚 完结撒花!

这次我们就来制作豆瓣首页的最后一部分页脚。 同样,页脚也在container中,页脚分为左区域和右区域,左区域里是多个p元素与a元素结合完成的,还要插入一些图片,右区域里里有几个横向菜单,以及一张图片。 左右…

近期知识点

aop (1) 要求利用AOP记录用户操作日志。内容包含以下信息:ip地址、用户名、请求的地址,请求的时间 ( 4 分) (2)要求利用AOP记录用户操作日志,日志记录到文本文件。内容包含以下信息&#xff…

在Spring Boot中使用JavaMailSender发送邮件

用了这么久的Spring Boot,我们对Spring Boot的了解应该也逐步进入正轨了,这篇文章讲的案例也在我们的实际开发中算是比较实用的了,毕竟我们完成注册功能和对用户群发消息,都可以采用到邮箱发送功能,往下看,…

寿险公司通过开源治理保障数字创新,安全打通高质量服务新通道

某寿险公司致力于为消费者提供人性化的产品和服务,在中国保险市场中始终保持前列。该寿险公司以挖掘和满足客户需求为出发点,从产品开发、渠道销售、运营流程和售后服务等各环节,借助数字化工具,不断地努力探索并提升服务品质。 精…

C++ :运算符重载

运算符重载: 运算符重载概念:对已有的运算符重新进行定义,赋予其另一种功能,以适应不同的数据类型 运算符的重载实际是一种特殊的函数重载,必须定义一个函数,并告诉C编译器,当遇到该重载的运算符…

IDEA中的Postman!

Postman是大家最常用的API调试工具,那么有没有一种方法可以不用手动写入接口到Postman,即可进行接口调试操作?今天给大家推荐一款IDEA插件:Apipost Helper,写完代码就可以调试接口并一键生成接口文档!而且还…

SAP 如何检查已安装的SAP UI5 版本

第一个方法是直接从FLP中查看 但是部分高版本的FLP中没有这个about, 那么在当前界面可以使用:CTRL ALT SHIFT S 查看当前版本 根据此版本,去进行你的UI5的开发吧

观察者模式

1.观察者模式是什么呢? 观察者模式(有时又被称为发布-订阅Subscribe>模式、模型-视图View>模式、源-收听者Listener>模式或从属者模式)是软件设计模式的一种。在此种模式中,一个目标物件管理所有相依于它的观察者物件&am…

2分图匹配算法

定义 节点u直接无边,v之间无边,边只存在uv之间。判断方法:BFS染色法,全部染色后,相邻边不同色 无权二部图中的最大匹配 最大匹配即每一个都匹配上min(u, v)。贪心算法可能导致&…

【Unity】Blender场景导入

素材 下载场景:https://www.aplaybox.com/details/model/keDSIks72Qh3 blender文件导出为.fbx文件,路径选择复制(做的过程太乱了不知道有没有影响),物理类型选择网格,勾选应用变换 blender下的物体长度是u…

SS8813T 打印机驱动芯片

SS8813为打印机和其它电机一体化应用提供一种双通道集成电机驱动方案。SS8813有两路H桥驱动,每个H桥可提供最大峰值电流2.5A和均方根电流1.75A(在24V和Ta 25C适当散热条件下),可驱动两个刷式直流电机,或者一个双极步进电机,或者螺…

Xilinx FPGA——ISE的UCF时序约束

时序约束是我们对FPGA设计的要求和期望,例如,我们希望FPGA设计可以工作在多快的时钟频率下等等。 设计是要求系统中的每一个时钟都进行时序约束。 一、分组约束语法(NET、PIN、INST) TNM是最基本的分组约束语法,其语法…

【小布_ORACLE笔记】Part11-5 RMAN Backups

【小布_ORACLE笔记】Part11-5 RMAN Backups 文章目录 【小布_ORACLE笔记】Part11-5 RMAN Backups1. 增量备份(Incremental Backups)1.1差异增量备份(Differential Incremental Backup)1.2累积增量备份(Cumulative Incremental Bac…