如何使用Kubernetes實(shí)現安全合規自動(dòng)化？

容器與Kubernetes帶來(lái)了新的、獨特的安全審視角度。它們促使團隊重新考量自己的傳統安全策略，擺脫單一或瀑布式的粗放方法，希望破除安全工作“馬后炮”式的被動(dòng)屬性。

容器與帶來(lái)了新的、獨特的審視角度。它們促使團隊重新考量自己的傳統安全策略，擺脫單一或瀑布式的粗放方法，希望破除安全工作“馬后炮”式的被動(dòng)屬性。

有些人將這種趨勢稱(chēng)為“左移”思維模式，代表著(zhù)我們會(huì )盡可能將安全因素部署在軟件開(kāi)發(fā)生命周期或CI/CD管道的起點(diǎn)位置。同樣重要的是，這種轉型將高度依賴(lài)于自動(dòng)化，要求我們盡早且頻繁檢測并修復問(wèn)題，而不再等到嚴重問(wèn)題發(fā)生時(shí)再進(jìn)行事后補救。

在這場(chǎng)轟轟烈烈的轉型中，容器化加編排工具的組合將助力提升安全性與合規性。

Stackrox聯(lián)合創(chuàng )始人兼首席戰略官Wei Lien Dang表示，“像Kubernetes這樣的平臺，最大的優(yōu)勢之一就是能夠在安全性與合規性領(lǐng)域實(shí)現高度自動(dòng)化，大大增強配置能力。這些自動(dòng)化流程與工具能夠幫助IT團隊隨時(shí)隨地準確衡量Kubernetes環(huán)境的安全狀況與整體風(fēng)險。”

左移思維還能在安全策略的實(shí)施當中發(fā)揮作用，這同樣有助于改善合規性。Dang解釋道，“策略的執行將可分布在各個(gè)檢查點(diǎn)當中——包括CI/CD管道、部署或運行期間，并由編排工具根據實(shí)際要求提供良好的可擴展性與可靠性。”

下面，我們一起來(lái)看通過(guò)容器化與編排工具提高安全/合規自動(dòng)化水平的三條關(guān)鍵路徑。

保證擁有良好的配置觀(guān)察能力

自動(dòng)化已經(jīng)成為保障安全性與合規性關(guān)鍵手段，具體用例包括自動(dòng)管理存儲在私有注冊表內的容器鏡像及其安全策略，以及將自動(dòng)化安全測試納入構建或持續集成的流程當中等。

Kubernetes自帶一組豐富的安全相關(guān)功能，涵蓋基于角色的訪(fǎng)問(wèn)控制、命名空間及其他功能。但如前文所述，盲目仰仗默認配置并不可取。Aqua Security公司戰略副總裁Rani Osnat表示，“Kubernetes是一套復雜的系統，包含大量配置與選項。其中一部分可能存在安全隱患，甚至在默認狀態(tài)下會(huì )造成重大風(fēng)險。”

只有正確配置這些功能，我們才有可能借助容器與編排工具之力達成安全性與合規性自動(dòng)化。對于這方面用例，Red Hat OpenShift等以項目為基礎構建而成的商業(yè)平臺往往會(huì )帶來(lái)重要助益。

Dang還指出，“這樣，安全最佳實(shí)踐將可以在整個(gè)Kubernetes的各個(gè)層級上自動(dòng)應用——包括集群層級、命名空間層級、部署/服務(wù)層級以及pod層級等等。”

借自動(dòng)化機制提高檢測與策略執行能力

與很多朋友已經(jīng)熟知的聲明式、自動(dòng)化基礎設施操作方法一樣，大家在安全領(lǐng)域也可以采取相同或者類(lèi)似的操作。如上所述，這些在容器安全與Kubernetes安全當中同樣不可或缺。

Dang表示，“這些環(huán)境強調以聲明式API進(jìn)行操作，能夠在基礎設施的配置期間實(shí)現安全設置，并在應用程序的構建與部署流程中始終提供安全保護。”

換言之，“即代碼管理模式”將由此與安全領(lǐng)域展開(kāi)融合。

NeuVector公司CTO Gray Duan認為，“希望實(shí)現Kubernetes合規性與安全性自動(dòng)化的企業(yè)，還應盡可能將安全策略即代碼與行為學(xué)習(或者機器學(xué)習)結合起來(lái)。這項技術(shù)策略有助于支持安全性“左移”的思維模式，幫助我們在應用程序開(kāi)發(fā)早期引入工作負載安全策略，立足整個(gè)生產(chǎn)過(guò)程實(shí)現環(huán)境保護。”

Duan還分享了安全性與合規性領(lǐng)域的幾個(gè)“應該”案例，一馬當先的就是在運行時(shí)中自動(dòng)執行安全漏洞掃描。Duan提到，“在實(shí)施Kubernetes合規性與安全性自動(dòng)化時(shí)，我們需要在運行時(shí)中執行漏洞掃描——不只是掃描容器，還需要掃描主機乃至Kubernetes本身。”

第二點(diǎn)則是自動(dòng)網(wǎng)絡(luò )分段。事實(shí)上，網(wǎng)絡(luò )分段在某些行業(yè)中屬于必要的合規性要求，需要強制加以執行。

越來(lái)越的企業(yè)需要組織合規報告并加以管理，而自動(dòng)化網(wǎng)絡(luò )分段也開(kāi)始在眾多行業(yè)的合規性標準中成為主流。例如，管理支付處理的PCI DSS安全標準就要求在持卡人數據環(huán)境內外的流量之間設置網(wǎng)絡(luò )分段和防火墻。在Duan看來(lái)，我們根本無(wú)法以手動(dòng)方式調整防火墻規則，借以應對新的、不斷發(fā)展的容器化環(huán)境威脅態(tài)勢。“正因為如此，很多法規理所當然地要求在業(yè)務(wù)環(huán)境中執行自動(dòng)化運行時(shí)掃描與合規性檢查。”

Kubernetes操作器則是安全自動(dòng)化領(lǐng)域的一類(lèi)新興工具。Red Hat安全策略師Kirsten Newcomer向我們解釋道，“最酷的一點(diǎn)在于，您可以使用Kubernetes操作器來(lái)管理Kubernetes本身，從而更輕松地交付并自動(dòng)處理安全部署。例如，操作器能夠高效管理配置漂移、使用Kubernetes聲明機制來(lái)重置和更改不受支持的配置。”

按照基準進(jìn)行持續測試，建立自動(dòng)化測試體系

即使配置正確，大家也必須記住一點(diǎn)：根據設計要求，容器體化工作負載以及運行所處的基礎設施并非靜態(tài)不變。這些環(huán)境高度動(dòng)態(tài)，因此必須將安全保障視為一種持續性實(shí)踐。

Dang提到，“合規性檢查也可以自動(dòng)化，只有這樣才能準確評估當前環(huán)境對于各類(lèi)基準及行業(yè)標準的遵循情況。”

從安全性與合規性的角度來(lái)看，Kubernetes環(huán)境中最著(zhù)名的檢查(及重新檢查)標準之一當數CIS Kubernetes基準。這是一份免費清單，包含約200項設置與安全配置最佳實(shí)踐。

這份清單系統且全面，但同時(shí)也令企業(yè)幾乎不可能手動(dòng)按照內容要求定期檢查動(dòng)態(tài)環(huán)境。好消息是，目前市面上的現成工具能夠自動(dòng)高效地完成這項工作。

Aqua開(kāi)發(fā)的kube-bench是一款免費開(kāi)源工具，能夠根據CIS Kubernetes基準自動(dòng)檢查您的環(huán)境。事實(shí)上，目前CIS指南已經(jīng)成為一項重要的運營(yíng)前提，Red Hat OpenShift Container Platform 4就專(zhuān)門(mén)根據其中的條目為用戶(hù)選擇了合作商工具。在kube-bench的幫助下，企業(yè)能夠持續檢查自己的安全狀況，確保集群不致偏離合規性要求。

NeuVector也提供一組免費開(kāi)源腳本，可根據最佳實(shí)踐自動(dòng)檢查Kubernetes的安裝情況。

同樣來(lái)自Aqua的還有一款開(kāi)源kube-hunter工具，可根據已知漏洞對集群發(fā)動(dòng)模擬攻擊。

Osnat指出，“如果說(shuō)CIS基準測試關(guān)注的是單一設置及其對整體安全狀況產(chǎn)生的影響，那么kube-hunter就是通過(guò)數十種已知攻擊向量對您的集群發(fā)動(dòng)滲透測試，借此實(shí)現安全性補充。它會(huì )模擬攻擊您的集群，驗證集群是否抵御得住各種已知的攻擊手段。它還提供關(guān)于設置的變更建議，幫助大家快速對所發(fā)現的安全漏洞施以補救。”

最后，開(kāi)源陣營(yíng)還有另外一位新成員——同樣來(lái)自Aqua的Starboard，一款面向Kubernetes安裝的安全工具包。

Osnat總結道，“Starboard努力將各種工具集成到K8s的體驗當中，包括漏洞掃描工具、工作負載審計器以及基準測試等。它基于K8s CRD(定制化資源定義)實(shí)現，并可通過(guò)Kubernetes API進(jìn)行訪(fǎng)問(wèn)。熟悉kubectl(K8s的原生CLI)的用戶(hù)能夠輕松從中獲取安全信息，并據此編程以進(jìn)一步提升自動(dòng)化水平。”