進(jìn)入云原生時代,Kubernetes在實(shí)現(xiàn)跨集群調(diào)度、容器擴(kuò)展以及整合網(wǎng)絡(luò)、存儲、安全性、監(jiān)控等服務(wù)方面更是駕輕就熟。Kubernetes憑借提供全面的容器基礎(chǔ)架構(gòu),已成為利用云能力、實(shí)現(xiàn)云價值的熱門之選。
也正因此,Kubernetes的安全性越來越受關(guān)注。
據(jù)一份《Kubernetes安全狀況報(bào)告》的調(diào)查顯示,在受調(diào)查的企業(yè)用戶中,有94%的企業(yè)在其容器環(huán)境中遇到過安全問題,其中69%的企業(yè)檢測到錯誤配置,27%的企業(yè)在運(yùn)行時遇到安全事件,還有24%的企業(yè)發(fā)現(xiàn)了嚴(yán)重的安全漏洞。
云原生安全新局
2021年,Palo Alto Networks(派拓網(wǎng)絡(luò))的安全威脅研究團(tuán)隊(duì)Unit 42也在谷歌GKE里發(fā)現(xiàn)了安全漏洞,以及利用這個漏洞可能產(chǎn)生的安全攻擊。這樣的漏洞可以導(dǎo)致在GKE里面可以被提權(quán),提權(quán)之后就能接管相應(yīng)的谷歌集群,進(jìn)而可能加載惡意代碼、竊取數(shù)據(jù)等,很多攻擊也會隨之而來。
數(shù)字化轉(zhuǎn)型、上云已成為企業(yè)發(fā)展必經(jīng)之路,因而催生了容器化的大量部署,這會導(dǎo)致云基礎(chǔ)架構(gòu)組件的可見性會變得越來越困難。容器化應(yīng)用程序的分布式性質(zhì)會讓我們難以快速發(fā)現(xiàn)哪些容器存在漏洞或錯誤配置,安全問題愈顯重要。
云原生環(huán)境在遵守安全最佳實(shí)踐方面遭遇到了挑戰(zhàn),企業(yè)必須要調(diào)整策略以確保 Kubernetes環(huán)境符合最初為傳統(tǒng)應(yīng)用程序體系架構(gòu)編寫的規(guī)范。同時,還要避免容器化應(yīng)用程序的分布式、動態(tài)特性的合規(guī)性問題,并在運(yùn)行時保護(hù)工作負(fù)載免受威脅。當(dāng)然,還要有足夠的策略保護(hù)Kubernetes API Server等易受攻擊的組件。
Palo Alto Networks(派拓網(wǎng)絡(luò))中國區(qū)大客戶技術(shù)總監(jiān)張晨表示:派拓網(wǎng)絡(luò)很關(guān)注這種場景下的安全保障,并推出了Prisma Cloud,解決客戶容器化管理平臺的安全性問題。
Palo Alto Networks(派拓網(wǎng)絡(luò))中國區(qū)大客戶技術(shù)總監(jiān)張晨
Prisma Cloud支持所有主流商業(yè)云服務(wù)平臺,跨越了所有技術(shù)堆棧,全方位支持容器化使用到的技術(shù)堆棧和應(yīng)用組件。通過Prisma Cloud,我們可以把檢查機(jī)制無縫地集成到容器化平臺從構(gòu)建到部署再到運(yùn)行的全生命周期中,盡量把安全檢查機(jī)制進(jìn)行前置,避免在代碼已經(jīng)完成開發(fā)、部署、運(yùn)行之后,再發(fā)現(xiàn)問題和進(jìn)行修復(fù)。
當(dāng)然,很多客戶在運(yùn)用容器化過程中可能處于不同的階段,或許只是關(guān)注其中某幾個階段的安全問題,Prisma Cloud也可以針對客戶需求提供各個階段所需的安全解決方案。
DevOps的新生
Kubernetes讓DevOps的持續(xù)集成、持續(xù)交付、持續(xù)部署流程更加容易實(shí)現(xiàn),同時還提供了豐富的控件集,用于有效保護(hù)容器集群及其應(yīng)用程序的安全。
Palo Alto Networks(派拓網(wǎng)絡(luò))Prisma Cloud方案架構(gòu)師李國慶表示:在敏捷開發(fā)和云原生組件廣泛應(yīng)用的時代,DevOps管理員應(yīng)當(dāng)將安全作為交付質(zhì)量和運(yùn)維水平的一個重要組成部分。只有從組織層面來進(jìn)行安全培訓(xùn),從流程層面來進(jìn)行安全規(guī)范,從工具層面來進(jìn)行無縫嵌入和平滑輸出,開發(fā)運(yùn)維和安全團(tuán)隊(duì)才可以緊密高效融洽地配合。
考慮到軟件開發(fā)的周期性和云原生時代所采用的技術(shù)堆棧的復(fù)雜度,李國慶建議企業(yè)通過技術(shù)領(lǐng)先并且統(tǒng)一的管理平臺來滿足所有的云安全需求。無論是在橫向的軟件生命周期還是縱向的技術(shù)架構(gòu)堆棧上, Prisma Cloud都提供了統(tǒng)一和強(qiáng)大的安全防護(hù)能力,能夠?yàn)槠髽I(yè)云原生的安全可視化、自動化、智能化提供強(qiáng)大的平臺支撐,它天然就可以和企業(yè)開發(fā)人員和DevOps的工作流進(jìn)行無縫集成。
DevOps管理員不妨從平臺驗(yàn)證開始,在探索DevOps的方向的時候可以試一試Prisma Cloud,來了解快速減輕安全工作的負(fù)載,并輕松獲得云原生全局安全的可能性。
李國慶最后談道:Prisma Cloud現(xiàn)在可以說是業(yè)界支持了所有主流商業(yè)云平臺的最完整的云安全解決方案,能夠幫助客戶進(jìn)行靈活選擇,從容應(yīng)對云原生時代的安全考驗(yàn)。
