认识Kubernetes 合规性和安全框架
发布时间:2022-08-04 14:49:09 所属栏目:云计算 来源:互联网
导读:Kubernetes (K8s) 成为世界领先的容器编排平台是有原因的,当今有74% 的 IT 公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。 为了完全保护 Kubernetes,需要多管齐下的方法:干净的代码、完全的可观察性、防止与
|
Kubernetes (K8s) 成为世界领先的容器编排平台是有原因的,当今有74% 的 IT 公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。 为了完全保护 Kubernetes,需要多管齐下的方法:干净的代码、完全的可观察性、防止与不受信任的服务交换信息以及数字签名。还必须考虑网络、供应链和 CI/CD 管道安全、资源保护、架构最佳实践、机密管理和保护、漏洞扫描和容器运行时保护。 合规框架可以帮助您系统地管理所有这些复杂性。让我们来看看五个主要框架以及它们如何帮助您的企业更安全地使用Kubernetes。 一、互联网安全中心 (CIS) Kubernetes 基准 互联网安全中心 (CIS) 是一家历史悠久的全球安全组织,已将其 Kubernetes 基准创建为“客观的、共识驱动的安全指南”,为集群组件配置提供行业标准建议并强化 Kubernetes 安全态势。 优点: 严格且被广泛接受的配置设置蓝图。 缺点: 并非所有建议都与所有组织相关,必须相应地进行评估。 二、Kubernetes 的 NIST 应用容器安全 美国政府的国家标准与技术研究院 (NIST)提供了专门的应用程序容器安全指南,作为其自愿框架的一部分。该指南重点介绍了 Kubernetes 环境的安全挑战——包括镜像、注册表、编排器、容器和主机操作系统——并提供了基于最佳实践的对策。例如,NIST 建议利用 Kubernetes(或其他协调器)提供敏感信息本地管理的能力,在运行时安全地将此数据供应到 Web 应用程序容器中,同时确保只有 Web 应用程序容器才能访问此敏感数据,并且该数据不会持久化到磁盘。 优点: 值得信赖的标准化风险管理方法。 缺点: 要求可能不明确,需要专业知识才能正确实施。 三、NSA 和 CISA Kubernetes 加固指南 美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 最近发布了他们的 Kubernetes 强化指南,描述并详细说明了对 Kubernetes 集群的特定威胁,并在五个关键领域提供了缓解指南: Kubernetes pod 安全性 网络分离和加固 认证和授权 日志审计 升级和应用程序安全实践 该报告强调了供应链风险中的危害,来自恶意行为者和基础设施级别的内部威胁,识别常见漏洞并推荐最佳实践以避免错误配置。 优点: 非常详细、实用、实用、特定于 Kubernetes 的建议。 缺点: 不包括对容器生命周期安全管理的建议。 四、Kubernetes 的 MITRE ATT&CK® 矩阵 Kubernetes 的威胁矩阵是从广受认可的 MITRE ATT&CK(对抗性策略、技术和常识)矩阵发展而来的,它基于当今领先的网络威胁和黑客技术采用了不同的方法。该矩阵用于在对手的攻击生命周期内和常见目标平台的威胁建模,提供入侵指标和攻击指标。对抗性方法允许所有安全和渗透团队制作强大的威胁建模和更全面的攻击响应。 优点:广泛的、最新的对手战术数据库。 缺点:实施复杂、昂贵的框架,指导不明确,而不是提供精确的缓解步骤。 五、Kubernetes 的 PCI DSS 合规性 支付卡行业数据安全标准 (PCI DSS) 是存储、处理或传输支付卡数据的每个组织所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在 Kubernetes 中,这是使用逻辑、网络和服务级别分段来完成的。虽然核心 PCI DSS 标准中没有直接涉及容器和微服务,但云计算指南补充提供了容器编排指南。在Kubernetes中,开源封装的某些属性、容器寿命、扩展性和连接性都使PCI DSS遵从性变得复杂。此外,在处理事务时,容器与平台上的其他几个组件通信。 虽然合规性可能需要一些前期工作,但弹性和长期业务连续性方面的回报将是值得的。在许多情况下,组织也会发现一些附加好处,例如优化、消除低效流程和服务。从长远来看,这可能会节省云计算并减轻团队的管理负担,同时全面保护 Kubernetes 环境并确保实现最佳实践合规性。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读
浙公网安备 33038102330459号