16|云原生安全:不可忽视的关键因素
潘野
你好,我是潘野。
从今天开始我们进入安全章节,很多同学可能有点疑惑,我们不是讲基础架构自动化的吗?这与安全有多少关联呢?
其实关联还是挺高的,因为在云原生体系中,安全就像盖房子时的地基,如果地基不牢固,房子就很容易倒塌。所以,我们需要格外地重视安全。学完今天的内容,相信你会对云原生的安全体系建立更深刻的认识。
云原生安全的特点
我们先来分析一下云原生的安全问题有什么特点。
首先,云原生应用的攻击面更大。传统的应用通常位于一个数据中心内,以往我们做好单数据中心的安全措施基本可以抵挡住 90% 的攻击。而云原生应用可能分布在多个数据中心甚至多个云上,那么攻击者自然更容易找到攻击目标,所以这就提升了我们防护的难度。
其次,云原生应用的组件通常是动态创建和销毁的,这使得传统的、基于静态配置的安全防护措施难以跟上。
然后,云原生应用通常使用容器和微服务等技术。这些技术虽然带来了很多好处,但也带来了新的安全挑战。传统的应用通常是一个整体,攻击者需要找到应用的入口才能进行攻击。而云原生应用,攻击者甚至可能从容器的漏洞发起攻击。
云原生安全的 4 个 C
下面我们来看看云原生安全防护的思路。
Kubernetes 官方文档里曾经提出 4 个 C 安全防护的思路,分别是 Cloud、Cluster、Container 和 Code。下图来自 Kubernetes 官方文档,图里很好地解释了这四个 C 的层级是由外到内、分层来解决安全问题的。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
1. 云原生应用的特点包括攻击面更大、组件动态创建销毁、使用容器和微服务技术,带来新的安全挑战。 2. 云原生安全防护思路包括Cloud、Cluster、Container和Code,以及应用生命周期的四个阶段:开发、部署、分发和运行时。 3. Kubernetes在设计中考虑了控制平面安全和数据平面安全,包括认证、鉴权、准入机制、网络隔离和数据加密等措施。 4. 容器runtime安全的最佳实践包括使用安全可靠的镜像、以最小特权原则运行容器、启用容器运行时安全功能。 5. 云原生安全体系的定义已从基于基础设施的4C层级模型转变为以应用为核心,安全策略需覆盖应用的整个生命周期,从开发、部署到运行。 6. 在开发阶段,安全措施包括代码审查、模糊测试和零信任架构(ZTA)等。 7. 分发阶段、部署阶段、运行时的生命周期中的安全措施,贯穿在Cluster和container的管理中,包括容器镜像的安全、容器权限的控制、集群权限管理、应用数据加密、网络隔离等手段。 8. Kubernetes集群和容器级别的安全防护可以借助安全软件来完成,具体有哪些安全软件需要进一步讨论。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《云原生基础架构实战课》,新⼈⾸单¥59
《云原生基础架构实战课》,新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(1)
- 最新
- 精选
meta-algorithmX集群: 1. 使用CIS Benchmarks审查组件安全配置(常见软件 kube-Bench) 2. 宿主机Node 操作系统内核安全增强工具(AppAmor, seccomp) 容器: 1. 容器镜像安全扫描(Clair, Trivy) 2. 容器运行时runtimeClass安全(Kata, gVisor) 3. 静态分析工作负载(kubernetes 资源及docker file) (kubesec) 4. 容器内syscall行为监控(Strace, Falco) 当然以上只是常见的第三方软件工具,kubernetes自身也有许多保证安全的组件和机制,比如RBAC,PodSecurityPolicy,Audit Logging,利用OPA及admission机制保证供应链安全等等。2024-04-29归属地:北京1
收起评论