怎样在云原生格局中理解Kubernetes合规性和安全框架
发布时间:2022-04-25 09:10:02 所属栏目:云计算 来源:互联网
导读:Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的,调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是,尽管Kubernetes让容器的使用变得更容易,但在安全性方面也增加了复杂
|
Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的,调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是,尽管Kubernetes让容器的使用变得更容易,但在安全性方面也增加了复杂性。 Kubernetes的默认配置并不总是为部署的所有工作负载和微服务提供最佳的安全性。此外,企业如今不仅要负责保护其运营环境免受恶意网络攻击,还要满足各种合规性要求。 为了完全保护Kubernetes,需要采用多管齐下的方法:干净的代码、完全的可观察性、防止与不受信任的服务交换信息以及数字签名;还必须考虑网络、供应链和持续集成(CI)/持续交付(CD)管道安全、资源保护、架构最佳实践、机密管理和保护、漏洞扫描和容器运行时保护。合规性框架可以帮助企业系统地管理所有这些复杂性。 以下了解五个主要安全框架以及它们如何帮助企业更安全地使用Kubernetes。 1. 互联网安全中心(CIS)Kubernetes基准 互联网安全中心(CIS)是一家历史悠久的全球安全组织,已将其Kubernetes基准创建为一个“客观、共识驱动的安全指南”,为集群组件配置提供行业标准建议,并强化Kubernetes安全态势。等级1建议实施起来相对简单,同时提供主要好处,通常不会影响业务功能。等级2或“深度防御”建议适用于需要更全面战略的关键任务环境。 互联网安全中心(CIS)还提供确保集群资源符合基准并为不合规组件生成警报的工具。互联网安全中心(CIS)框架适用于所有Kubernetes发行版。 优点:严格且被广泛接受的配置设置蓝图。 缺点:并非所有建议都与所有企业相关,因此必须进行相应评估。 2. NSA和CISA的Kubernetes强化指南 美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近发布了他们的Kubernetes强化指南,其中描述并详细说明了对Kubernetes集群的特定威胁,并在五个关键领域提供了强化指南: KubernetesPod安全 网络分离和加固 认证和授权 日志审计 升级和应用安全实践 该报告强调了供应链风险中的危害,来自恶意行为者和基础设施级别的内部威胁,识别常见漏洞,并推荐最佳实践以避免错误配置。 优点:非常详细、实用、实际、特定于Kubernetes的建议。 缺点:不包括对容器生命周期安全管理的建议。 3. Kubernetes的PCIDSS合规性 支付卡行业数据安全标准(PCIDSS)是存储、处理或传输支付卡数据的每个企业所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在Kubernetes中,这是使用逻辑、网络和服务等级分段来完成的。 虽然核心PCIDSS标准中没有直接涉及容器和微服务,但云计算指南补充提供了容器编排指南。 在Kubernetes中,开源包装、容器寿命、蔓延和连接性的某些属性都使PCIDSS合规性变得复杂。此外,在处理交易时,容器与平台上的其他几个组件进行通信。 例如,如果企业有一个或多个容器在一个或多个专用Kubernetes服务器中运行,则有责任确保范围、分段和验证以及客户数据之间的隔离满足PCIDSS要求。 优点:对于处理支付卡数据的企业来说是强制性的;建立消费者信心。 缺点:指南含糊不清且与技术无关,因此实施需要专业知识。 总结 Kubernetes带来了巨大的好处,例如速度和敏捷性。遵守在这里探讨的框架有助于最大程度地减少伴随而来的任何风险。指导企业的团队采用行业最佳实践至关重要,采用一个或多个这些框架通常是标准化漏洞评估和持续安全的最佳方式。 虽然合规性可能需要开展一些前期工作,但在弹性和长期业务连续性方面的回报将是值得的。在许多情况下,企业也会发现一些附带好处,例如优化、消除低效流程和服务。从长远来看,这可能会节省成本,并减轻团队的管理负担,同时全面保护Kubernetes环境,并确保实现最佳实践的合规性。 (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐