Kubernetes資源應該具有間接存取雲端帳戶管理員角色的許可權嗎?答案是否定的,但實際上違反最小特權原則的配置卻十分常見,而且經常導致災難性的雲端帳戶劫持。
VMware最近的一項研究顯示,97%的企業存在Kubernetes安全問題(圖-1)。滿足安全與合規要求已成為部署(59%的受訪者)和管理(47%的受訪者)Kubernetes的頭號挑戰。缺乏對Kubernetes最佳實踐的瞭解以及由此產生的錯誤配置會給雲原生應用安全帶來巨大的威脅。
圖-1 Kubernetes的頭號挑戰:滿足安全與合規要求
多雲增加Kubernetes安全風險
如今,相比本地(47%)或單一公有雲(42%),擁有生產型Kubernetes工作負載的企業更多地選擇多家公有雲服務提供者(52%)運行雲原生應用。此外,每家雲端服務提供者都以各自的方式部署託管式Kubernetes服務,使開發者更容易使用託管式Kubernetes叢集中的資料庫、無伺服器計算和負載平衡器等基本雲端服務。這使得對整個應用基礎架構的可見性需求,包括Kubernetes和雲端資源之間的關係,成為瞭解安全風險的重中之重。此外,對於開發者和IT團隊而言,建立一套統一的方法來管理所有雲端服務提供者和資料中心的安全態勢並非易事。
Kubernetes和雲端安全態勢管理
CloudHealth Secure State提供統一的Kubernetes和雲端安全態勢管理功能(KSPM),使客戶能夠深入瞭解500種服務和資源類型的錯誤配置風險,包括公有雲或資料中心中的託管式和自我管理式Kubernetes叢集。
圖-2 違規行為:EKS ServiceAccount不應具有特權IAM角色
- 深入洞察安全風險:
使用者現在可以利用多雲搜索來檢查Kubernetes資源配置並將與叢集內部或外部其他資源的關係視覺化,由於支援1000個安全最佳實踐和20個合規框架,用戶可以主動識別高階風險以防範雲端劫持,例如Kubernetes ServiceAccount角色與雲端帳戶管理員IAM角色之間的連接(圖-2)。憑藉對Amazon EKS的支援,Azure Kubernetes Service、Google Kubernetes Engine、Tanzu Kubernetes Grid、Red Hat OpenShift、Rancher和其他Kubernetes開發者團隊可以改善基礎架構的安全性與合規性,為他們在公有雲或資料中心的現代應用提供支援。
- 加快預防回應:
CloudHealth Secure State開創了事件驅動微庫存架構的先河,它能夠在配置變更通知後的6秒內檢測出95%的安全和合規違規行為,然後根據擴散半徑為每個違規行為分配一個風險分數,讓使用者能夠更容易地分辨並優先處理風險最高的違規行為。透過使用我們的低程式碼方法,用戶可以在幾分鐘內創建自訂安全與合規規則及框架,進一步加強治理標準,發現原本無法發現的錯誤配置,協助客戶可在犯罪分子實施違規操作之前主動識別和解決安全問題。
圖-3 開發者請求1個月的安全例外來進行測試
- 更容易實施安全措施:
在一個大型企業中,實現雲端安全的關鍵在於將警報高效傳遞至分佈在各地的團隊並減少誤報。CloudHealth Secure State提供一個先進的警示方塊架,使管理員能夠自訂警報資訊,提供公司安全政策和補救步驟方面的指導。透過自動化,開發者可以根據預先定義的標準(如安全政策、風險或資源標籤)請求安全政策例外,以便減少警報數量。管理員則可以拒絕無效的請求或批量批准特定期限的安全例外(圖-3),並藉由互動式工作流程確保安全管理員和開發者的合作效率,最大程度地降低風險。