如何保障微服务和Kubernetes的持续安全性
极客时间编辑部
讲述:丁婵大小:2.31M时长:05:02
Sysdig 技术作家马蒂奥·布里略(Mateo Burillo)认为,安全需要适应容器世界中日益快速的持续交付,这意味着安全性即代码。在 RebelCon.io 2019 大会上,他展示了如何实现具备持续安全性的 DevSecOps 流程。
人类无法相当好地审查每天的多个构建,所以需要一个安全团队,能够考虑安全要求、限制和最佳实践,并使用本身了解微服务的工具将它们自动化。要充分利用 DevOps 的灵活性和响应能力,安全性必须在应用程序的整个周期中发挥综合作用。布里略称,应该将安全性集成到管道中,使用安全性即代码方法。这样做有三个好处:
自动化:你需要扩展并加速建立你的安全流程,以适应微服务 / 容器的世界。
可见性:任何团队成员都可以访问和讨论安全规则,消除专有技术竖井。
可跟踪性:现在,你对所做的每个更改都拥有版本控制和所有权。
布里略说,容器是黑盒子,这对运营有利,但对安全不利。可能需要几天或几周的时间才能发现漏洞。
在构建时,要将安全性构建到产品中,最明显的步骤是将 CI/CD 工具与镜像扫描器集成在一起。人们经常将容器镜像扫描与公共漏洞列表(称为 CVE 列表或“漏洞”)以及漏洞扫描关联在一起,但这只是开始。使用高级镜像扫描器,你可以做很多事情,如遵从性检查(NIST、PCI、MITRE)、发现泄漏的凭证、实现你自己的应用程序级安全实践等。
Kubernetes 提供了一些特定于容器的安全遵从性标准和一组很好的开箱即用的安全功能,因此要避免重复发明轮子。
现在最常见的用例是将镜像扫描软件与你的 CI/CD 管道集成在一起,无论是 Jenkins、AWS CI/CD、Bamboo 还是其他任何东西。布里略提到,镜像扫描是必要的,但还不够,你还需要运行时安全性。传统的 Linux 安全工具不提供容器运行时可见性,他建议对这套工具进行现代化改造。
此外,对于提高安全领域的敏捷性,布里略认为,要采用的主要概念与 IT 基础设施或 QA 所经历的变革没有太大区别,就是将安全性实现为代码。
安全性即代码意味着你的规则需要进行版本控制并保存在存储库中。你的安全运维团队将向该存储库推送,你的环境应该能够动态地拉取并执行这些规则。
举个例子,使用 Anchore 实现镜像扫描,你的容器镜像将始终被扫描以检测 CVE。然后,你的安全团队决定你不希望任何容器以 root 身份运行或泄漏 AWS 凭据。
编写 Anchore 引擎脚本,用于检测、下载和应用此更新。
你的 CI/CD 工具,如 Jenkins,负责构建镜像。它可以很容易地 与 Anchore 集成 ,构建管道的其中一个步骤会运行这个镜像扫描验证。只有获得 Anchore 批准的镜像才会被 Jenkins 签名并推送到内部注册中心。
使用 Admission Controller 配置 Kubernetes,以拒绝运行任何 CI/CD 工具没有签名的镜像。
在上面的例子中,安全团队只需要设计高层次的安全目标;其他一切都是自动化的。
Burillo 也表示,要知道,IT 不存在 100% 的安全性保证,人们可以做几件事来尽可能保证应用程序在容器中运行的安全性。
镜像扫描,以检测已知的漏洞,并遵循与你的 IT 部门和你部署的应用程序类型更相关的最佳安全实践,
你需要深入的可见性和可跟踪性,以了解容器是如何构建的,以及它们在运行时是如何操作的,你无法阻止你看不到的安全威胁。
实现运行时安全规则和自动修复。容器是简单的机器,这在运行时是一个巨大的优势,因为你可以很容易地预测它们的行为,并立即检测是否有可疑的事情发生。
以上就是今天的内容,希望对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论