Kubernetes安全态势管理(KSPM)

确保Kubernetes集群的安全性和合规性.


什么是Kubernetes安全态势管理? 

Kubernetes安全态势管理(KSPM)是一个确保Kubernetes(也称为k8)集群防御健全并符合内部和外部安全标准的系统.

据云安全联盟称, “KSPM”还包括它的预测能力, 防止, 并响应与Kubernetes相关的不断变化的网络威胁.” Modern cyber threats are ever-evolving; this means there will be an inherent ephemeral nature to securing Kubernetes clusters running on cloud or hybrid environments.

在我们进一步讨论之前,让我们用一个基本的定义来重新审视一下:

Kubernetes 是开源的, 用于管理容器化应用程序工作负载和服务的容器编排平台. Kubernetes负责容器部署,还管理软件定义的网络层,该网络层允许容器相互通信. 该平台是可移植的,便于声明式配置和自动化.

跨环境保护容器化工作负载的管理包括利用基于角色的访问控制(RBACs)等实践, 限制API访问, 确保Kubernetes本身是最新的, 并进行主动扫描和监控.

给组织分配自我遵守KSPM的任务将决定其成功, 特别是根据Gartner®的数据,到2026年,超过90%的企业将把他们的能力扩展到多云环境.

KSPM和CSPM有什么区别? 

KSPM和 云安全态势管理(CSPM) 是容器化的工作负载还是托管这些工作负载的基础设施. 因为这两种方法并不完全相同, 让我们来看看它们的一些关键技术差异,以清楚地了解任何潜在的混淆:

  • 重点领域CSPM专注于修复整个原生云平台中的漏洞和错误配置, KSPM专注于修复Kubernetes容器中的问题. 
  • App 保护CSPM工具通常对客户在云平台上运行的特定应用程序工作负载提供最低限度的保护. 然而,KSPM是基于客户的Kubernetes容器安全协议. 
  • 识别风险CSPM工具专门用于识别可能导致破坏和数据盗窃的潜在攻击面漏洞. KSPM工具的重点是保护在云环境中运行的k8容器. 
  • 合规CSPM工具必须确保整个云环境符合严格的法规,特别是在医疗保健和金融等行业. 而, 在某种程度上, 云计算服务提供商还必须监控其云上客户操作的合规性, 最终,这些客户要对其K8s集群的遵从性负责,并且必须遵守这些应用程序所服务的特定行业法规.

这里需要注意的一个切题的方面是 责任分担模型. 云服务提供商(CSP)和这些CSP服务的最终用户之间的这种理解本质上规定,CSP将负责管理其安全状况,而最终用户/客户将负责管理其安全状况 集装箱安全 对于那些在CSP的云平台上运行的实例.

KSPM是如何工作的? 

KSPM works by ensuring that K8s container defenses are properly secured; this is also known as hardening. 在监控Kubernetes环境的过程中发现配置错误, 漏洞, 或者违反法规, 对于it和安全团队来说,利用自动化来制定这些防御强化技术的大部分是一个好主意.

KSPM解决方案应该帮助组织定义Kubernetes集群的安全策略. 在 Kubernetes加固指南, 网络安全基础设施和安全局(CISA)推荐了一套KSPM最佳实践来保护Kubernetes集群:

  • “扫描容器和pod的漏洞或错误配置.
  • 以尽可能少的权限运行容器和pod.
  • 使用网络分离来控制攻击可能造成的损害. 
  • 使用防火墙来限制不必要的网络连接,并使用加密来保护机密性. 
  • 使用强身份验证和授权来限制用户和管理员访问以及限制攻击面. 
  • 捕获和监视审计日志,以便管理员能够对潜在的恶意活动发出警报. 
  • 定期检查所有Kubernetes设置并使用漏洞扫描,以确保适当地考虑风险并应用安全补丁." 

在指南中, CISA还说,“管理员应该定期检查,以确保他们的系统的安全性符合当前的网络安全最佳实践. 应该对各种系统组件执行定期漏洞扫描和渗透测试,以主动查找不安全的配置和漏洞 零日漏洞. 任何发现都应该在潜在的网络行为者发现和利用它们之前及时修复.”

为什么KSPM很重要? 

KSPM很重要,因为它作为在Kubernetes集群中运行的容器化工作负载的安全网. 确保安全状态也很重要,因为K8s集群不断扩展以满足DevOps团队的需求. 然而, 安全组织有责任确保前面提到的容器化工作负载的安全性.

希望这将导致最终创建一个 DevSecOps 文化——KSPM只是其中一个方面. 如前所述, 随着业务采用更快的增长速度,k8集群(以及其他工作负载类型)往往呈指数级增长. 因此, it becomes imperative for security to integrate as seamlessly as possible into the application-development process; within the cybersecurity world, 这个过程也被称为“向左移动”.”

持续集成/持续交付(CI / CD)

CI / CD 过程就像听起来一样快节奏. 工作负载不断增加,以满足软件更新等需求. 对于开发人员来说,这似乎是一个直截了当的问题. 然而, 这些工作负载通常被交付到实时和可公开访问的环境中, 因此,它们必须尽可能地安全,以免容易受到攻击者和破坏.

因此,安全性——而不是在流程完成后检查流程——必须自动化地集成到持续开发中,以便在流程发生时不断地检查流程, 而且“发货”的产品是尽可能安全的. KSPM进程可以帮助确保kubernetes运行环境中的这种安全完整性.

在KSPM解决方案中寻找什么

就特定的KSPM解决方案而言,对于一个 SOC 分析其运行k8的独特环境,以免将资金浪费在不必要的操作上. 让我们来看看KSPM解决方案的一些更通用的方面,它们可以适用于大多数用例. 

遵守CIS基准 

互联网安全中心(CIS)成立 一定的标准 KSPM解决方案应该与之保持一致. Kubernetes网络安全的这些基准定义了一个标准,通过该标准可以确定运行在本地或云环境中的Kubernetes集群的安全状态 AWS, GCP, or Azure.

除了, 当发现安全缺陷时,基准测试为补救提供指导. 这些基准通常被直接合并到解决方案的技术中, 允许公司使用Kubernetes集群,同时确保CIS合规性.

确保容器安全性和遵从性的整体方法

一旦安装了KSPM解决方案并将其配置为监视Kubernetes集群, it will scan container-configuration resources potentially exposed via API; these can include pods, 容器, 服务, 和部署.

然后,分析人员应该能够在表示基础设施和容器的单个模型中看到此扫描数据. 以这种方式, KSPM解决方案根据法规(例如)定义的策略分析数据以解决配置和安全问题 PCI DSS, GDPR, HIPAA

通过复制保护数据 

如果威胁迫在眉睫或存在主动破坏,维护正在运行的应用程序至关重要. KSPM解决方案通过允许轻松的应用程序可移植性使这成为可能. 应用程序可以从一个云服务器自动复制到另一个云服务器,以便在发生事故时最大限度地实现冗余. 

阅读更多

Kubernetes安全:最新的Rapid7博客文章