【51CTO.com快譯】隨著眾多企業(yè)依賴Kubernetes來部署應(yīng)用程序，這個(gè)開源容器編排項(xiàng)目近些年來變得越來越重要。越來越依賴的同時(shí)安全方面的審查也越來越嚴(yán)，尤其是在谷歌，谷歌提供一項(xiàng)名為谷歌Kubernetes引擎(GKE)的托管Kubernetes服務(wù)。

12月11日至13日KubeCon大會(huì)在西雅圖如期召開，谷歌的安全與隱私產(chǎn)品經(jīng)理Maya Kaczorowski在之前舉辦的新聞發(fā)布會(huì)上概述了谷歌現(xiàn)在和將來為幫助保護(hù)Kubernetes所采取的措施。

她說：“客戶詢問的問題主要圍繞配置和安全地搭建Kubernetes。”

Kubernetes是一個(gè)最初由谷歌開發(fā)和領(lǐng)導(dǎo)的開源項(xiàng)目;自2015年以來，Kubernetes一直歸云原生計(jì)算基金會(huì)(CNCF)監(jiān)管。AWS和微軟Azure都運(yùn)行各自的托管Kubernetes服務(wù)，還有來自多家供應(yīng)商的商業(yè)產(chǎn)品，包括IBM、Red Hat、SUSE、Pivotal和思科等。GKE服務(wù)基于上游的Kubernetes項(xiàng)目，體現(xiàn)了谷歌對(duì)于Kubernetes在公共云中如何運(yùn)行的看法。

Kaczorowski表示，客戶向谷歌詢問GKE方面的諸多問題，包括基礎(chǔ)設(shè)施安全問題，許多企業(yè)很想知道如何利用Kubernetes安全功能來保護(hù)用戶身份，它們還很想知道軟件供應(yīng)鏈以及某個(gè)特定的容器應(yīng)用程序映像是否可以安全地部署。她特別指出，由于媒體報(bào)道Docker Hub中存在易受攻擊的應(yīng)用程序，加上NPM事件流模塊最近爆出了問題，容器應(yīng)用程序映像的安全性在2018年已成了許多企業(yè)關(guān)注的一大問題。

她說：“用戶擔(dān)心自己的環(huán)境會(huì)出現(xiàn)什么意外。”

Kaczorowski補(bǔ)充道，比較精明的用戶在詢問運(yùn)行時(shí)安全性問題以及如何識(shí)別存在惡意行為的容器。用戶還有興趣想了解如何對(duì)受安全問題影響的容器進(jìn)行分析。

谷歌在做什么?

谷歌不僅僅將上游Kubernetes直接拿來部署成GKE。確切地說，Kaczorowski表示谷歌在默認(rèn)情況下實(shí)施安全最佳實(shí)踐。

她說：“我們不滿足于開源社區(qū)的現(xiàn)狀，落實(shí)了另外的限制措施，以保護(hù)用戶。”

GKE實(shí)施的最顯著的限制之一就是受限制的Kubernetes儀表板。2018年，包括特斯拉和Weight Watchers在內(nèi)的多家企業(yè)的Kubernetes環(huán)境遭到了攻擊，就因?yàn)樗鼈內(nèi)斡蒏ubernetes儀表板敞開、暴露于互聯(lián)網(wǎng)上。Lacework在6月19日發(fā)布的一項(xiàng)調(diào)查發(fā)現(xiàn)了21169個(gè)面向公眾的Kubernetes儀表板，其中部署的300個(gè)使用敞開的管理儀表板，并沒有任何必需的訪問登錄信息。

谷歌還利用私有集群和授權(quán)網(wǎng)絡(luò)來幫助保護(hù)GKE用戶。

Kaczorowski說：“這么做的目的是為節(jié)點(diǎn)提供私有IP地址，然后使用用戶白名單中的一組IP地址，對(duì)通過IP訪問控制面板予以限制。”

Kubernetes運(yùn)行在操作系統(tǒng)上;以谷歌為例，這是一個(gè)極簡(jiǎn)操作系統(tǒng)，經(jīng)過加固，并專門構(gòu)建。Kaczorowski表示，這個(gè)極簡(jiǎn)操作系統(tǒng)基于谷歌的Chromium OS(支持谷歌Chromebook)。她表示，GKE OS需要盡量簡(jiǎn)單，以便減小潛在漏洞的攻擊面。

她說：“它不需要很多東西，因?yàn)橛脩艉腿萜鲙砹撕芏鄸|西，于是谷歌為這一層構(gòu)建了自己的操作系統(tǒng)，名為針對(duì)容器優(yōu)化的操作系統(tǒng)(COS)，它建立在Chromium上。”

對(duì)IT人員來說，升級(jí)打上安全補(bǔ)丁始終是最佳實(shí)踐，而GKE通過其節(jié)點(diǎn)自動(dòng)升級(jí)功能來做到這一點(diǎn)。Kaczorowski表示，GKE為用戶管理Kubernetes控制平面，包括更新該控制平面，并在需要時(shí)打補(bǔ)丁。

7月24日谷歌Next大會(huì)上宣布了另一項(xiàng)核心的谷歌容器安全功能，當(dāng)時(shí)推出了Container Registry Vulnerability服務(wù)，該服務(wù)提供自動(dòng)掃描容器映像的功能，幫助識(shí)別已知的安全漏洞。在Next大會(huì)上，谷歌還宣布了Binary Authorization，該服務(wù)可以在映像部署到生產(chǎn)環(huán)境之前驗(yàn)證映像滿足某些要求。在5月3日的KubeCon歐洲大會(huì)上，谷歌宣布了容器運(yùn)行時(shí)安全項(xiàng)目，包括與Aqua Security、Capsule8、StackRox、Sysdig和Twistlock達(dá)成合作伙伴關(guān)系。Kaczorowski在接受eWEEK的視頻采訪時(shí)詳細(xì)介紹了這個(gè)容器安全合作項(xiàng)目。

2019年展望

展望2019年，Kaczorowski預(yù)計(jì)IT安全領(lǐng)域會(huì)出現(xiàn)兩大趨勢(shì)。第一大趨勢(shì)是簡(jiǎn)化一切。

她說“現(xiàn)在，做到讓正確配置的Kubernetes搭建并運(yùn)行起來，用戶面臨的壓力相當(dāng)大。于是在GKE中，我們做了大量的工作來簡(jiǎn)化這方面，但對(duì)開源版本而言，這實(shí)在太困難了。”

Kaczorowski希望核心開源Kubernetes社區(qū)不僅僅滿足于簡(jiǎn)化Kubernetes并提供更好的默認(rèn)設(shè)置。

專門針對(duì)Kubernetes的攻擊是Kaczorowski預(yù)測(cè)會(huì)出現(xiàn)的另一個(gè)趨勢(shì)。她表示，到目前為止，針對(duì)容器的許多攻擊可以歸類為“路過式”攻擊，即攻擊者隨機(jī)掃描環(huán)境，尋找已知漏洞。

她說：“攻擊者甚至都沒有意識(shí)到在攻擊容器化的環(huán)境，他們可能甚至都不關(guān)心。我們可能會(huì)開始看到人們更頻繁地掃描Kubernetes漏洞。”

原文標(biāo)題：How Google Is Improving Kubernetes Container Security，作者：Sean Michael Kerner

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】