集群的云原生安全性

作者 : 普什卡·乔格卡尔

在过去的几年中,鉴于不断发展的云原生基础架构和相应的迭代部署实践,一个以安全为中心的小型社区一直在努力加深对安全性的了解。为了能够与社区的其他成员共享这些知识, CNCF SIG安全 (向 CNCF目录 和谁是朋友 捕鱼大亨网络版 SIG安全由艾米丽·福克斯(Emily Fox)领导,在一份白皮书中进行了概述,概述了整体云原生安全问题和最佳实践。经过来自全球35个成员的1200多次评论,更改和讨论,我们很自豪地分享 云原生安全白皮书v1.0 该书对于企业,金融和医疗保健行业,学术界,政府和非营利组织的安全领导力至关重要。

本文试图 专注于任何具体 云原生项目。相反,其目的是将安全性建模并注入云本机应用程序生命周期的四个逻辑阶段: 开发,分发,部署和运行时.

云原生应用程序生命周期阶段

捕鱼大亨网络版 本机安全控制

当使用捕鱼大亨网络版作为工作负载协调器时,此版本的白皮书建议的一些安全控件是:

云原生补充安全控制

捕鱼大亨网络版 直接参与了 部署 阶段,程度较小 运行 相。确保工件安全 发达 分散式 这对于使捕鱼大亨网络版中的工作负载默认运行是安全的是必要的。在Cloud本机应用程序生命周期的所有阶段中,针对捕鱼大亨网络版编排的工作负载存在多个互补的安全控制措施,包括但不限于:

  • 发展:
    • 图像签名和验证
    • 图像漏洞扫描仪
  • 分发:
    • 部署前检查以检测过多特权
    • 启用可观察性和日志记录
  • 部署:
    • 使用服务网格进行工作负载身份验证和授权
    • 通过“工作负载之间的通信”实施“默认拒绝”网络策略 网络插件
  • 运行:
    • 为工作负载部署安全监视代理
    • 使用SELinux,AppArmor等隔离在同一节点上运行的应用程序。
    • 根据公认的安全基准对节点,工作负载和协调器进行扫描

首先了解,然后安全

云原生方式(包括容器)为其用户提供了极大的安全优势:不变性,模块化,更快的升级以及整个环境的一致状态。在“事情的完成方式”中实现这一根本性变化,促使我们用云原生镜头来研究安全性。对于本文所有作者来说显而易见的一件事是,如果您不了解手头的工具,模式和框架,那么就如何以及如何在云原生生态系统中进行安全保护就很难做出更明智的决定(除了了解自己的重要资产之外)。因此,对于所有想要成为合作伙伴而不是您的运营,产品开发和合规性朋友的守门人的安全从业人员,让我们尝试尝试 了解更多,我们可以确保更好.

我们建议遵循此 7步骤R.U.N.T.I.M.E.路径 开始使用云原生安全性:

  1. R消耗纸张及其中的任何链接材料
  2. U了解环境的挑战和约束
  3. N引用适用于您的环境的内容和控件
  4. T与同伴谈论您的观察
  5. I发展您的领导力并寻求帮助
  6. M根据现有和缺少的安全控制措施进行风险评估
  7. E花费时间,金钱和资源,以改善安全状况并在适当情况下降低风险。

致谢

巨大的呼喊声 艾米莉·福克斯(Emily Fox),蒂姆·班尼斯特(Tim Bannister)(规模工厂),蔡斯·佩特(Chase Pettet)(Mirantis)和韦恩·哈伯(Wayne Haber)(GitLab) 为这篇博客文章提供了很棒的建议。