Kubernetes 安全防護終極指南_第1頁
Kubernetes 安全防護終極指南_第2頁
Kubernetes 安全防護終極指南_第3頁
Kubernetes 安全防護終極指南_第4頁
Kubernetes 安全防護終極指南_第5頁
已閱讀5頁,還剩63頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

終極指南Kubernetes如何保護Kubernetes借助容器和Kubernetes等工具,企業(yè)能夠在應(yīng)用程序部署的諸多方面實現(xiàn)自動化,繼而獲得巨大的業(yè)務(wù)收益。但這些新的部署環(huán)境與傳統(tǒng)環(huán)境一樣,容易受到黑客和內(nèi)部攻擊者的攻中斷等形式的攻擊。更麻煩的是,公有云中的Kubernetes等新型工具和技術(shù)以及托管容器服務(wù)本身就將為攻擊企業(yè)的重要資產(chǎn)提供可乘之機。繼近期Kubernetes的中間人漏洞和Tesla漏洞事件之后,機針對容器技術(shù)發(fā)起攻擊,預(yù)計這類事件將在未來幾個月乃的嚴重漏洞都會在構(gòu)建階段、注冊表和生產(chǎn)過程中對容器鏡像工具來保護單片應(yīng)用程序,但容器可能使東西向流量或內(nèi)部流333.攻擊面擴大。每個容器中都含有可能被利用的不同攻擊面和漏洞。此外,還必須將Kubernetes和Docker等編排工具引入的其他攻擊面考慮在內(nèi)。4.自動化安全防護才能滿足發(fā)展需要。以往的安全防護模型和工具無法應(yīng)對不斷變化的容器環(huán)境??紤]到Kubernetes自動化的性質(zhì),容器和Pod從出現(xiàn)到消失可能只有幾分鐘甚至幾秒的時間??赡馨戮W(wǎng)絡(luò)連接的應(yīng)用程序行為必須即時納入強制安全策略中。我們需要通過新一代自動化安全工具來保護容器安全,在流水線前期專用接口有限,默認情況下容器比傳統(tǒng)應(yīng)用程序更安全,但這種觀點成立:網(wǎng)絡(luò)攻擊者和公共部門攻擊者使用舊有手段攻擊沒有漏洞且已鎖定所有代碼和基礎(chǔ)設(shè)施。但我們清楚,這在現(xiàn)實中是不可能的。而且即便如此,也仍擊進行監(jiān)控。攻擊事件屢次發(fā)生,時間和經(jīng)驗都表明,攻擊者的手段總是能夠?團隊是否具備能在流水線前期甚至構(gòu)建階段消除重大漏洞(具有可用修補程序)的相?團隊對正在部署的KubernetesPod是否具有可見性?例如,是否了解應(yīng)用程序Pod?團隊能否確定每個Pod的行為正常與否??當內(nèi)部服務(wù)Pod或容器開始在內(nèi)部掃描端口或嘗試隨機連接外部網(wǎng)絡(luò)時,團隊如何44d?團隊能否像對于非容器化部署一樣全面查看和檢查網(wǎng)絡(luò)連接?例如7層網(wǎng)絡(luò)??如果面臨潛在攻擊,團隊能否監(jiān)控Pod或容器內(nèi)部的活動情況??團隊是否曾通過檢查Kubernetes集群的訪問權(quán)限來確定潛在的內(nèi)部攻擊載體??團隊是否擁有鎖定Kubernetes服務(wù)、訪問控制(RBAC)和容器主機的檢查清單??如果具備合規(guī)策略,如何在運行時執(zhí)行以確保合規(guī)性?例如,確保內(nèi)部Pod通信加?在對應(yīng)用程序通信進行故障排除或記錄取證數(shù)據(jù)時,如何定位相關(guān)Pod并抓取日志?這篇指南將重點圍繞自動化運行時安全防護,介紹如何實現(xiàn)Kubernetes和容器部署的安全。首首先必須要了解Knperuetes的運行機制和55Kubernetes的運行機制如果還不熟悉Kubernetes,可以先來了解下列主要概念和術(shù)語。Kubernetes是一種能夠自動化部署、更新和監(jiān)控容器的編排工具。RedHatOpenShift、aaSGoogleCloud等所有主流容器管理和云平臺全部支持Kubernetes。下面是一些需要了解的Kubernetes?主節(jié)點:管理Kubernetes工作節(jié)點集群和在節(jié)點上部署Pod的服務(wù)器。節(jié)點可以?工作節(jié)點:也稱為從屬節(jié)點或下屬節(jié)點,這些服務(wù)器通常運行應(yīng)用程序容器和代理等其他Kubernetes組件。?POD:Kubernetes中的部署和可尋址性單元。每個Pod都擁有獨立的IP地址,其中可能包含一個或多個容器(通常為一個)。?服務(wù):為其底層Pod和請求充當代理的服務(wù)功能,可在各復(fù)制Pod之間進行負載均衡。服務(wù)還可通過定義外部IP或節(jié)點端口來為一個或多個Pod提供外部訪問端66用于管理Kubernetes集群的主要組件包括API服務(wù)器、Kubelet和etcd。Kubernetes還支持基于瀏覽器的管理控制臺——Kubernetes儀表盤(可選)。以上所有組件都是潛在的攻擊目標。例如,Tesla漏洞事件就是一個未被保護的Kubernetes控制臺被攻擊,進而被安Kubernetes基于角色的訪問權(quán)限控制(RBAC)可實現(xiàn)資源的精細化管理。它能夠提供對應(yīng)用程序工作負載和Kubernetes系統(tǒng)資源的訪問權(quán)限。OpenShift等管理工具可以添加其他功能,但需要依賴或使用原生Kubernetes基本安全控制。通過妥善配置訪問權(quán)限控制來防止未經(jīng)授權(quán)訪問API服務(wù)器或應(yīng)用程序工作負載等Kubernetes組件的行為至關(guān)重要。Kubernetes的主要網(wǎng)絡(luò)連接概念是:為每個Pod分配獨立的可路由IP地址。Kubernetes (實際上是其網(wǎng)絡(luò)插件)負責在內(nèi)部將主機之間的所有請求路由至相應(yīng)的Pod。KubernetesPod的外部訪問權(quán)限可通過服務(wù)、負載均衡器或入口控制器來提供,Kubernetes會將其路由至相應(yīng)的Pod。Kubernetes使用iptables來控制Pod(和節(jié)點)之間的網(wǎng)絡(luò)連接,以及處理大量的網(wǎng)絡(luò)連Kubernetes的IP地址。而PodIP且其容器能夠偵聽原生端口,因此端口映射得到了大大簡化(大部分被省略)。鑒于所有這類Overlay網(wǎng)絡(luò)連接都由Kubernetes動態(tài)處理,所以監(jiān)控網(wǎng)絡(luò)流量的難度極大,安全防護更是難上加難。以下是Kubernetes網(wǎng)絡(luò)連接運行方式的示例。77POD11src:1dst:93POD11src:1dst:93calib10557e951dRoutingtable:/24via1devtunIO1devcalib10557e961deth0:0tunI0:devtunIOIPIPtunnel:src:0dst:1PODPOD293src:1dst:93calib0d7763386daRoutingtable:/24via03devcali0d7763386daeth0:1tunI0:3上圖所示為數(shù)據(jù)包在不同節(jié)點的Pod之間遍歷的方式。示例中使用的是CalicoCNI網(wǎng)絡(luò)插件。每個網(wǎng)絡(luò)插件對于PodIP地址(IPAM)的分配、iptables規(guī)則和跨節(jié)點網(wǎng)絡(luò)連接的配置略。1.當CNI網(wǎng)絡(luò)插件收到來自Kubernetes的容器部署通知時,它負責指派IP地址,并在節(jié)點上配置相應(yīng)的iptables和路由規(guī)則。PodPodIP或Pod2的服務(wù)IP作為目標位置向Pod2發(fā)送一個數(shù)據(jù)包。 的是Pod2的IP。)3.如果使用服務(wù)IP,則kube-proxy會執(zhí)行負載均衡和DNAT,并將目標IP轉(zhuǎn)換為遠odIP由位置。A.如果目標位置是相同節(jié)點上的本地Pod,則數(shù)據(jù)包將直接被轉(zhuǎn)發(fā)至Pod的接口。Overlay網(wǎng)絡(luò)還是三層網(wǎng)絡(luò)路由機制。6.遠程節(jié)點上的路由表會將數(shù)據(jù)包路由至目標位置Pod2。NAT進行)和封裝發(fā)生,并被網(wǎng)絡(luò)插件管理,檢查和監(jiān)控網(wǎng)絡(luò)流量中的攻擊和88Kubernetes漏洞和攻擊載體針對Pod上運行的Kubernetes容器發(fā)起的攻擊可能來自外部網(wǎng)絡(luò),也可能來自內(nèi)部人員,行的其他Pod,以進行探測或發(fā)起攻擊。盡管三層網(wǎng)絡(luò)控制可通過建立IP地址白名單提供一定的保護,但通過受信任的IP地址發(fā)起的攻擊只有通過七層網(wǎng)絡(luò)篩選才能3.POD數(shù)據(jù)外泄:攻擊者往往通過多種手段實現(xiàn)數(shù)據(jù)竊取,其中可能包括在連接至命令與控制服務(wù)器的Pod上設(shè)置反向shell,以及通過網(wǎng)絡(luò)隧道來隱藏保4.通過被入侵的容器運行惡意進程:容器運行的進程通常比較有限,并且具有明確的定義,但被入侵的容器可能會啟動挖礦軟件等惡意進程,或網(wǎng)絡(luò)端口掃描等可疑進程,或者注入未曾出現(xiàn)過的二進制代碼(進程攻擊)。4east-west5 6312pod4east-west5 6312podHOSTWORKERNODES995.入侵容器文件系統(tǒng):攻擊者可能通過安裝存在漏洞的庫/數(shù)據(jù)包來攻擊容器,也可能DirtyCowLinux內(nèi)核漏洞升級至root權(quán)限。命令與控制攻擊準備攻擊手段命令與控制攻擊準備攻擊手段攻擊者天、幾周甚至實施安裝外泄偵查實施安裝外泄偵查其中包含的活動需要多層安?網(wǎng)絡(luò)檢查:攻擊者通常會經(jīng)由網(wǎng)絡(luò)連接進入,并通過網(wǎng)絡(luò)擴大攻擊。最初,網(wǎng)絡(luò)為攻器:通過監(jiān)控各個容器中的進程和系統(tǒng)調(diào)用活動,即可確定可疑進程是否已開始,或者攻擊者是否已嘗試升級權(quán)限并擊破容器,從而檢測出應(yīng)用程序或系統(tǒng)漏洞攻擊。?主機監(jiān)控:在這方面,傳統(tǒng)主機(端點)安全防護能夠用于檢測針對內(nèi)核或系統(tǒng)資源的攻擊。但主機安全防護工具必須具有Kubernetes和容器意識,以確保全面覆蓋。例如,新的主機可以動態(tài)進入Kubernetes集群,并且必須包含由Kubernetes管理除了上述威脅載體,攻擊者還可能嘗試入侵KubernetesAPI服務(wù)器或控制臺等部署工具,從運行的Pod的控制權(quán)限。容器的訪問權(quán)限,黑客也可能嘗試攻擊API服務(wù)器或Kubelets等Kubernetes資源。例如,在對Tesla的攻擊中,黑客攻陷了一個不受保護的控制通過盜取/盜用API服務(wù)器令牌或冒充授權(quán)用戶身權(quán)。Kubernetes發(fā)布了可通過Kubelet、etcd訪問權(quán)限或服務(wù)令牌實現(xiàn)的多種權(quán)限升級機以Kubernetes中間人漏洞為例,這是一種相對較新的惡意安全防護問題,已經(jīng)引起安全專家的廣泛關(guān)注,但更多問題還將繼續(xù)涌現(xiàn)。針對這類漏洞,攻擊者可以利用內(nèi)置服務(wù)定義,安全防護安全防護分析描程序隔離保護Docker虛擬光驅(qū)測制升級檢測理DockerBench防護與網(wǎng)絡(luò)連接集和事件記錄護SELinux、AppArmor洞掃描控,例如:內(nèi)容信任在介紹運行時安全防護如何防御中間人和其他攻擊行為之前,我們先來回顧一下如何為整個CI/CD流水線集成安全防護。在構(gòu)建階段,代碼和鏡像分析能夠在批準部署鏡像之前消除已知漏洞和違規(guī),具有非常重要在交付階段,啟用適當?shù)脑L問權(quán)限控制并限制鏡像部署對于避免生產(chǎn)線后期有意或意外引入在運行階段,適當鎖定準備中的主機和編排工具是一種良好且必要的安全機制,但實時監(jiān)控盡管安全團隊一直期望能夠擁有提供端到端安全防護的“神器”,但生產(chǎn)線中包含的層次和階段眾多,沒有一款工具可以面面俱到??偟貋碚f,RedHatOpenShift、DockerEE、平臺可提供針對構(gòu)建、交付和預(yù)部署階段的安全防護工具和功能,而一些獨立的安全服務(wù)供應(yīng)商可提供包含運行時安全防護的端到端工具。運行時安全防護工具必須善于檢測和抵御基CI/CD生產(chǎn)線安全防護應(yīng)在CI/CD生產(chǎn)線中盡早集成安全防護措施,多數(shù)企業(yè)選擇在開發(fā)者構(gòu)建容器鏡像的階段著手。在鏡像進入生產(chǎn)線的下一階段之前,開發(fā)者通過即時掃描可以確定是否存在必須修復(fù)的?如何在生產(chǎn)線中執(zhí)行和觸發(fā)掃描?Jenkins等多數(shù)工具都具有能夠觸發(fā)掃描的插件或?評估和修復(fù)漏洞的批準流程是什么?應(yīng)該通知哪些人員來進行審核??在要求修復(fù)時應(yīng)當采用什么標準?這種標準是否基于嚴重(CVSS分數(shù)閾值較高)?在什么情況下應(yīng)放棄一項構(gòu)建任務(wù)?在重大漏洞具有可用修補程序時放棄,在沒有可?對違規(guī)是否應(yīng)設(shè)置寬限期和/或例外情況(豁免)?例外情況適用于哪些進程??如果在生產(chǎn)線后期發(fā)現(xiàn)漏洞,例如在生產(chǎn)階段的注冊表或正在運行的容器中,是否應(yīng)除了在CI/CD生產(chǎn)線中集成掃描,其他安全防護措施包括:?生產(chǎn)線工具和注冊表訪問權(quán)限控制,旨在降低內(nèi)部濫用行為的可能性。?準入控制,旨在預(yù)防漏洞或未經(jīng)授權(quán)的鏡像部署,或防止其在生產(chǎn)線中向前流動。?針對開源組件和代碼掃描工具執(zhí)行許可證控制等其他企業(yè)軟件管理策略。Kubernetes節(jié)點生產(chǎn)準備部署應(yīng)用程序容器之前,應(yīng)鎖定Kubernetes工作節(jié)點的主機系統(tǒng)。下面介紹的是鎖定主機驟建議?使用命名空間?限制Linux功能?啟用SELinux?采用Seccomp?配置Cgroups?使用R/O裝載?使用最小化的主機操作系統(tǒng)?更新系統(tǒng)補丁?運行CIS基準安全測試在暫存和生產(chǎn)環(huán)境中應(yīng)持續(xù)對Kubernetes主機進行審核和掃描,確保在更新和擴展活動期Kubernetes運行時容器當容器在生產(chǎn)中運行時,三個重要的安全防護載體是:網(wǎng)絡(luò)篩選、容器檢查和主機安全容器防火墻是一種新型網(wǎng)絡(luò)安全防護產(chǎn)品,可針對新的云原生Kubernetes環(huán)境采取傳統(tǒng)網(wǎng)?基于IP地址和端口的三/四層網(wǎng)絡(luò)篩選。這種方式包含用于動態(tài)更新規(guī)則的Kubernetes網(wǎng)絡(luò)策略,可在部署更改和擴展時提供保護。簡單的網(wǎng)絡(luò)分段規(guī)則并非是為關(guān)鍵性業(yè)務(wù)容器部署提供可靠的監(jiān)控、記錄和威脅檢測,而是能夠防止一些未經(jīng)授權(quán)的網(wǎng)絡(luò)?Web應(yīng)用防火墻(WAF)攻擊檢測能夠采用檢測常見攻擊的方法來保護面向Web的容器(通常為基于HTTP或HTTPS的應(yīng)用程序),與Web應(yīng)用防火墻的功能類似。?七層容器防火墻具備七層篩選和對Pod間流量的深度數(shù)據(jù)包檢測的功能,可通過使用網(wǎng)絡(luò)應(yīng)用程序協(xié)議來保護容器安全。容器防火墻還與Kubernetes等編排工具集成,防火墻還具備一項特殊的優(yōu)勢,可將容器進程監(jiān)控和主機安全防護納入受監(jiān)控的威脅深度包檢測(DPI)技術(shù)對于容器防火墻的深度網(wǎng)絡(luò)安全防護必不可少。入侵通常使用可預(yù)測的攻擊載體:標頭格式錯誤的惡意HTTP請求,或包含在可擴展標記語言(XML)對象中的可執(zhí)行shell命令。基于DPI的七層檢測能夠?qū)ふ也l(fā)現(xiàn)這些攻擊方式。針對每一次Pod連鑒于容器和Kubernetes網(wǎng)絡(luò)連接模型的動態(tài)性質(zhì),傳統(tǒng)的網(wǎng)絡(luò)可見性、取證和分析工具均無法使用。為調(diào)試應(yīng)用程序或調(diào)查安全防護事件進行的抓包等任務(wù)也不再簡單。需要Kubernetes和具有容器意識的工具來執(zhí)行網(wǎng)絡(luò)安全防護、檢查和取證任務(wù)。網(wǎng)絡(luò)攻擊者經(jīng)常使用特權(quán)升級和惡意進程來發(fā)起攻擊或擴散。針對Linux內(nèi)核漏洞(例如DirtyCow)、數(shù)據(jù)包、庫或應(yīng)用程序本身的攻擊可能導(dǎo)致容器中出現(xiàn)可疑活動。檢查容器進程和文件系統(tǒng)活動以及檢測可疑行為是容器安全防護的重要組成部分。端口掃描和反向shell或特權(quán)升級等可疑進程都應(yīng)被檢測出來。應(yīng)當將內(nèi)置檢測與基準行為學習流程相如果容器化應(yīng)用程序采用的是微服務(wù)設(shè)計原則,即容器中的每個應(yīng)用程序都具備少量功能,并且僅使用必須的數(shù)據(jù)包和庫來構(gòu)建容器,則將大大簡化對可疑進程和文件系統(tǒng)活動的檢如果運行容器的主機(例如Kubernetes工作節(jié)點)被入侵,可能導(dǎo)致一系列不良后果,?root特權(quán)升級?安全防護應(yīng)用程序或基礎(chǔ)設(shè)施訪問權(quán)限的機密被盜?集群管理員特權(quán)遭到更改?主機資源被破壞或劫持(例如挖礦軟件)?API服務(wù)器或Docker虛擬光驅(qū)等重要編排工具基礎(chǔ)設(shè)施關(guān)閉?之前在容器檢查一章中提到的可疑進程啟動對于容器來說,需要對主機系統(tǒng)中的這些可疑活動進行監(jiān)控。因為容器能像主機一樣運行操作系統(tǒng)和應(yīng)用程序,所以監(jiān)控容器進程和文件系統(tǒng)活動需要與監(jiān)控主機相同的安全防護功能。將網(wǎng)絡(luò)檢查、容器檢查和主機安全防護相結(jié)合是通過多種威脅載體檢測殺傷鏈的最佳Kubernetes系統(tǒng)和資源如果得不到保護,Kubernetes等編排工具和基于其構(gòu)建的管理平臺都將面臨攻擊威脅。這以及Kubelet被攻擊事件為新技術(shù)在未來陷入攻擊和更新補丁反復(fù)拉鋸的循環(huán)拉開了序幕。為了幫助Kubernetes和管理平臺抵御攻擊,針對系統(tǒng)資源妥善配置RBAC非常重要。為確面:2.限制KUBELET權(quán)限。為Kubelets配置RBAC并管理證書輪換,保護Kubelet安對所有需要的外部端口要求進行身份驗證。針對未經(jīng)身份驗證的服務(wù),限制其對白名登錄,則不應(yīng)允許控制臺/代理訪問??偟貋碚f,應(yīng)仔細審核所有基于角色的訪問權(quán)限控制。例如,應(yīng)審核具有集群管理員角色的與上文介紹鎖定工作節(jié)點時提到的可靠主機安全防護相結(jié)合,可以幫助Kubernetes部署基礎(chǔ)設(shè)施抵御攻擊。不過也建議使用監(jiān)控工具來追蹤對基礎(chǔ)設(shè)施服務(wù)的訪問,以檢測未經(jīng)授權(quán)以TeslaKubernetes控制臺遭到的攻擊為例,一旦工作節(jié)點的訪問權(quán)限被攻陷,黑客即可創(chuàng)建與中國的外部連接,用于控制挖礦軟件。對容器、主機、網(wǎng)絡(luò)和系統(tǒng)資源實施基于策略Kubernetes環(huán)境的審核與合規(guī)隨著Kubernetes等容器技術(shù)和工具的快速發(fā)展,企業(yè)將不斷對容器環(huán)境進行更新、升級和遷移。運行一系列專為Kubernetes環(huán)境設(shè)計的安全測試將確保安全防護不會在每次更改后削弱。這種方式可評估基礎(chǔ)設(shè)施的安全態(tài)勢,確定其是否存在被攻擊的風險。隨著更多的企好在針對Kubernetes和Docker環(huán)境,可通過Kubernetes和DockerBench測試的CIS基準執(zhí)行一系列全面的安全態(tài)勢檢查。應(yīng)將定期運行這些測試和確認預(yù)計結(jié)果的流程自?主機安全性?Kubernetes安全性?Docker虛擬光驅(qū)安全性?容器安全性?RBAC配置正確性?數(shù)據(jù)在空閑和傳輸時的安全性220此外,鏡像掃描應(yīng)包含與鏡像安全防護相關(guān)的CIS基準測試。其他鏡像合規(guī)測試也能檢查鏡像是否存在嵌入式機密和文件訪問(setuid/setgid)違規(guī)。注冊表和生產(chǎn)中的鏡像和容器漏洞掃描也是防御已知攻擊和滿足合規(guī)性的核心組成部分。掃描可以整合到構(gòu)建流程和CI/CD生產(chǎn)線中,確保所有向生產(chǎn)階段流動的鏡像全部經(jīng)過測試。在生產(chǎn)中,應(yīng)當對運行的容器和主機定期進行漏洞掃描。但漏洞掃描不足以提供容器運行時編排和容器管理工具雖然具備基本的RBAC和基礎(chǔ)設(shè)施安全防護功能,但它們并非專門的安全防護工具。關(guān)鍵性的業(yè)務(wù)部署仍然需要專業(yè)的Kubernetes安全防護工具。具體來說,需要一種安全防護解決方案,能夠解決涵蓋三種主要安全載體(網(wǎng)絡(luò)、容器和主機)的安全?在構(gòu)建階段和注冊表中進行鏡像的生產(chǎn)線漏洞掃描和合規(guī)性掃描。?準入控制,可防止存在漏洞或未經(jīng)授權(quán)的鏡像部署。?涵蓋網(wǎng)絡(luò)、容器和主機的多載體容器安全防護。?七層容器防火墻,可保護東西向和進出流量。?容器保護,防御未經(jīng)授權(quán)的進程和文件活動。?主機安全防護,用于檢測系統(tǒng)攻擊。?借助行為學習自動化創(chuàng)建策略,并可通過自適應(yīng)執(zhí)行實現(xiàn)自動擴展。?運行時漏洞掃描,可為Kubernetes?運行時漏洞掃描,可為Kubernetes?通過CIS安全基準滿足合規(guī)性和審計NeuVector解決方案本身就是一個容器,可通過Kubernetes或OpenShift、SUSERancher、DockerEE、IBMCloud、SUSECaaS、EKS等任何其他編排系統(tǒng)進行部署和nginxwordpress節(jié)點2節(jié)點3mysql服務(wù)Aredis服務(wù)B管理NeuVector可將安全防護的起點左移至CI/CD生產(chǎn)線構(gòu)建階段。容器鏡像構(gòu)建能夠觸發(fā)漏洞掃描,并將在發(fā)現(xiàn)重大漏洞時放棄構(gòu)建??梢砸箝_發(fā)者在修復(fù)這些漏洞之后才能準許鏡像通過構(gòu)建階段,并存儲在經(jīng)過審核的注冊表中。NeuVector支持Jenkins、CircleCI、AzureDevOps和Gitlab等所有常見的生產(chǎn)線工具,并且還為任何其他使用中的構(gòu)建工具NeuVector會持續(xù)掃描已審核的注冊表中的鏡像是否存在新的漏洞。在構(gòu)建階段或注冊表鏡像掃描過程中,除了提供分層掃描結(jié)果,還會針對CIS基準、檢測到的機密和文件訪問權(quán)限漏洞與合規(guī)性瀏覽器能夠分析結(jié)果、創(chuàng)建合規(guī)性報告 HIPAAGDPRNIST3在將NeuVector部署到各個工作節(jié)點之后,容器網(wǎng)絡(luò)連接和服務(wù)依存關(guān)系將一目了然。隔離和保護Kubernetes部署的安全防護策略將自動創(chuàng)建。如何為Kubernetes部署中的多種攻擊載體提供保護,請看下面幾個示例。NeuVector能夠自動發(fā)現(xiàn)和可視化運行中的Pod及其網(wǎng)絡(luò)連接和安全防護策略。并可通過自動部署的白名單規(guī)則將每個應(yīng)用程序堆棧隔離。無論針對容器的攻擊來自內(nèi)部還是外部,NeuVector都能夠檢測和攔截。NeuVector七層防火墻可在監(jiān)控(網(wǎng)絡(luò)tap)模式下運行,也可運行保2424護(內(nèi)聯(lián))模式來攔截攻擊或未經(jīng)授權(quán)的連接,同時讓容器對經(jīng)過驗證的流量保持活躍。任KubernetesPod的抓包將自動完成并簡化,可供用于取證、記錄和應(yīng)用程序調(diào)試。NeuVector借助內(nèi)置的端口掃描和反向shell等可疑進程檢測功能,能夠檢測出任何容器中的反?;顒?。此外,各容器中正在運行的進程都將被用來制定基準,為檢測未經(jīng)授權(quán)的或惡2525NeuVector還將監(jiān)控容器文件系統(tǒng)中的可疑活動。例如,在安裝或更新數(shù)據(jù)包或庫時,NeuVector將自動觸發(fā)漏洞掃描,并生成告警。NeuVector會監(jiān)控主機系統(tǒng)中的特權(quán)升級等攻擊。在容器中檢測出的可疑進程在主機上運行時也將被檢測。例如,NeuVector能夠檢測到端口掃描或反向shell進程開始運行,并發(fā)出告警。而且,NeuVector還能夠?qū)W習已允許在主機上運行的進程并建立白名單,并攔截任何NeuVector也會監(jiān)控系統(tǒng)容器以及各容器的網(wǎng)絡(luò)活動。Kubernetes和OpenShift容器及其226NeuVector會自動掃描運行中的Pod、容器和工作節(jié)點的漏洞,并在各個節(jié)點上運行KubernetesCIS基準測試,還將對系統(tǒng)容器和編排平臺(例如Kubernetes1.19)進行漏NeuVector還可在構(gòu)建和交付階段(檢查鏡像注冊表)以及在CI/CD自動化生產(chǎn)線中執(zhí)行漏洞掃描,并提供Jenkins集成,從而能夠在鏡像構(gòu)建過程中進行掃描。Kubernetes安全防護自動化——隨著DevOps團隊向容器和Kubernetes的應(yīng)用程序自動化部署全速前進,安全防護自動化勢在必行?,F(xiàn)在的安全防護團隊已經(jīng)今非昔比,再也不可能隨時叫?;蚍啪彂?yīng)用程序、基礎(chǔ)安全防護自動化首先要為運行中的容器創(chuàng)建安全的基礎(chǔ)設(shè)施和平臺,之后是自動化運行時安全防護。利用Terraform等基礎(chǔ)設(shè)施即代碼概念和工具可確保獲得具有可重復(fù)安全配置的安通過將行為學習和Kubernetes與自定義資源定義(CRD)相結(jié)合實現(xiàn)的安全即代碼,多數(shù)運行時安全防護都能實現(xiàn)自動化。最初可能始終需要一些手動設(shè)置或自定義,但當開啟生產(chǎn)開關(guān),并由Kubernetes開始管理Pod時,安全防護即可自動化進行,并能隨著部署的情況進2828√定義Kubernetes原生yaml中的應(yīng)用程序行為√網(wǎng)絡(luò)連接和協(xié)議√進出控制√進程和文件系統(tǒng)活動√實現(xiàn)安全策略的版本管理√執(zhí)行全局安全規(guī)則P√RBAC集成√Kubernetes執(zhí)行CRD創(chuàng)建許可√簡化從暫存到生產(chǎn)階段的過渡√支持開放策略代理(OPA)和其他集成NeuVector等新型安全工具能夠與Kubernetes部署模型融合,從而提供多載體的運行時安全防護。將Kubernetes容器防火墻與容器檢查和主機安全防護相結(jié)合,能夠檢測和阻止殺傷鏈中的破壞性攻擊活動。憑借先進的公有云架構(gòu),NeuVector能夠以容器形式在鄰近應(yīng)用由于容器化應(yīng)用程序的聲明式特點,以及Kubernetes等工具的豐富集成選擇,即使在高度動態(tài)化的容器環(huán)境中也可以執(zhí)行高級安全控制。通過與Kubernetes集成,并整合多項行為學習和多載體安全防護功能,可以實現(xiàn)整個生產(chǎn)線的安全防護自動化,從而滿足關(guān)鍵性Kubernetes業(yè)務(wù)部署的迫切需求。2929對于容器基礎(chǔ)設(shè)施來說,滿足行業(yè)標準的合規(guī)性要求并非易事。這些新的虛擬化層還未經(jīng)過NeuVector能夠助力達成PCI、GDPR、SOC2、HIPAA和NIST等標準的合規(guī)性要求,遵循?網(wǎng)絡(luò)分段和建立防火墻。憑借專門設(shè)計用于容器和Kubernetes網(wǎng)絡(luò)篩選及保護的七?漏洞掃描和修復(fù)。通過端到端漏洞管理,NeuVector可在從構(gòu)建階段到生產(chǎn)的整個?審核配置測試。通過KubernetesCIS基準等合規(guī)性檢查來審查和執(zhí)行系統(tǒng)(主機)?限制訪問權(quán)限控制。評估和授予所需的最低級別用戶訪問特權(quán)能夠降低發(fā)生RBAC攻3030?加密和敏感數(shù)據(jù)保護。NeuVector可確保流動數(shù)據(jù)的連接加密,甚至能使用DLP技NeuVector可針對容器部署的PCI、GDPR、HIPAA和NIST合規(guī)性提供可自定義的預(yù)配置NeuVector通過將可自定義的合規(guī)性報告、端到端漏洞管理、防火墻構(gòu)建和網(wǎng)絡(luò)分段以及合規(guī)性測試相結(jié)合,成功幫助眾多企業(yè)的全新云原生基礎(chǔ)設(shè)施和工作負載達成了合規(guī)性要求,涵蓋從PCI和GDPR,到服務(wù)組織控制(SOC)2類審計等多項標準。SOC2是一項審計規(guī)程,旨在確保服務(wù)提供商(應(yīng)用程序)以安全的方式管理數(shù)據(jù),從而保護組織的利益及其用戶的隱私。對于注重安全性的企業(yè)而言,在考慮SaaS提供商時,滿足SO

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論