云原生态安全性实体模型与实践活动

2021-01-21 01:52

在传统式的产品研发中,大家常常关心的「安全性」包含编码安全性、设备(运作自然环境)安全性、互联网运维管理安全性,而伴随着云原生态时期的来临,假如还按原来的好多个层面分割得话,显而易见非常容易忽视许多云原生态自然环境引进的挑战,大家必须根据互联网安全性最好实践活动——深度防御力标准,来逐渐分析「云原生态的安全性」,而且对不一样层级的防御力方式有一定的掌握,进而创建自身的云原生态安全性核心理念,真实构建一个核心安全性的云原生态系统软件。

注:“深度防御力”,指在测算机系统软件中的好几个方面应用多种多样互联网安全性技术性,进而降低进攻者运用重要业务流程資源或信息内容泄漏到系统软件外界的整体将会性。在信息传送合谐作自然环境中,深度防御力管理体系能够保证故意进攻主题活动被阻拦在基本构造内的好几个查验点,减少了威协进到內部互联网的将会性。

以某IDaaS系统软件为例子,大家把一个云原生态系统软件安全性实体模型分成 4 个方面,从外至内各自是:云/数据信息管理中心/互联网层、群集层、器皿层、编码层,以下图所显示:

针对这儿安全性实体模型的每一层,全是单边依靠于表层的。换句话说,表层的云、群集、器皿安全性假如做的好,编码层的安全性便可以获益,而相反,大家是没法根据提升编码层的安全性性来填补表层中存有的安全性系统漏洞或难题。根据所述这一点基本原理,大家的深度防御力对策是「自外而内」地开展“布防”。

一、云/数据信息管理中心/互联网层安全性

这一层还可以称作基本设备安全性,无论从何视角,公有制或独享云或公司数据信息管理中心及其相匹配的互联网安全性,是 K8s 群集最压根的安全性基本,假如这一层存有安全性系统漏洞或是过度敏感,则全部系统软件也不能在这个基础上确保部件的安全性。

大家除开必须防御力传统式的进攻,如 ARP 掩藏、ddos、互联网层各种报文格式等进攻,应当对于 Kubernetes 群集采用下列维护对策:

  • 不容许在 Internet 上公布对 Kubernetes 管理方法服务平台(Control Plane)的全部浏览,同时仅对外开放一部分可靠 IP 能够浏览 Kubernetes 管理方法 API。
  • 全部连接点只曝露特定的端口号,包含对管理方法服务平台的內部端口号和来源于 NodePort 和 LoadBalancer 种类的 Kubernetes 服务的联接,而且不可该立即曝露到 Internet。
  • 根据云出示商或主机房的互联网层安全性组(比如 AWS 的 Security Group)对管理方法服务平台及其连接点授于最少管理权限操纵:

  • 对etcd(Kubernetes 的基本储存)的浏览开展严苛操纵(仅容许来源于群集管理方法服务平台的浏览),应强制性全部联接都应用TLS,并保证全部信息内容全是在长久化层被数据加密的(Encryption at rest)。

二、群集层

维护 Kubernetes 群集有2个行为主体必须关心:

  • 群集与部件
  • 运作的服务或运用

维护 Kubernetes 群集部件与服务或运用:

对于这2个行为主体的维护,大家的维护能够分成 4 大块:管理方法 API 的浏览操纵、Kubelet 的浏览操纵、Runtime(运作时)工作中负荷或客户作用的浏览操纵、群集部件的安全性系统漏洞安全防护,以下图所显示。

(1) 管理方法 API 的浏览操纵

  • 强制性 TLS 维护传送层
  • 强制性 API 验证
  • 强制性 API 受权体制(RBAC)

(2) Kubelet 的浏览操纵

  • 生产制造自然环境开启真实身份认证
  • 真实身份受权(RBAC)
  • 强制性 TLS 维护传送层

(3) Runtime(运作时)工作中负荷或客户作用的浏览操纵

  • 限定应用权利器皿
  • 有效限定資源负荷
  • 避免载入不必要核心控制模块
  • 限定 Pod 滥用权力浏览别的连接点
  • 基本数据信息凭据的浏览操纵

(4) 群集部件的安全性系统漏洞安全防护

  • 严禁未受权浏览 etcd
  • 开启审批系统日志纪录
  • 按时轮换基本构架凭据
  • 按时升級修补系统漏洞

三、器皿层

来到这一层,因为跟 Kubernetes 特点并不是强有关,大家能出示一些通用性的安全性对策和提议:

四、编码层

编程代码层是最非常容易受进攻,但也是最可控性的一部分之一。尽管一般承担这方面安全性的工作人员不一定是运维管理开发设计(DevOps),将会是专业的安全性工程项目师(Sec Eng),但是一些基本关联性核心理念和提议是能够相互之间效仿的。

整体来讲,云原生态时期的这四层构架:云/数据信息管理中心/互联网层、群集层、器皿层、编码层,与传统式构架相比来更为优化和更加容易受进攻。自外而国内贯彻每一层的安全性最好实践活动,大家的深度防御力才可以算作取得成功的,每一个在云原生态技术性上想长期性获利的精英团队必须对于此事有共鸣。

参照材料:

  • https://baike.baidu.com/item/%E7%BA%B5%E6%B7%B1%E9%98%B2%E5%BE%A1/8282191?fr=aladdin
  • https://kubernetes.io/docs/concepts/security/overview/
  • https://www.stackrox.com/post/2020/09/protecting-against-kubernetes-threats-chapter-8-lateral-movement/

创作者:玉符IDaaS   来源于:FreeBuf



扫描二维码分享到微信

在线咨询
联系电话

020-66889888