谷歌開發(fā)的Kubernetes(K8s)已經(jīng)成為主流容器編排平臺，K8s的主要目標是應對監(jiān)管大規(guī)模容器的復雜性，其通過分布式節(jié)點集群管理微服務應用程序，支持擴展、回滾、零停機和自我修復。它可以在內(nèi)部數(shù)據(jù)中心的裸機上運行，也可以在Azure、AWS等公有云或私有云平臺上運行。

K8s安全是一項復雜的任務，其中一個非常具體和關鍵的方面是事件響應。如K8s集群遭受攻擊時該如何做?組織內(nèi)各團隊如何協(xié)調(diào)以應對攻擊?應急恢復的有效流程是怎樣的，以及需要哪些必要的調(diào)查工具和數(shù)據(jù)?

事件響應是檢測、管理并恢復網(wǎng)絡安全事件的結構化過程，其最終目標是降低成本、最小化宕機時間，把附帶損害(包括業(yè)務損失和品牌影響)降至最低。

為了實現(xiàn)高效的事件響應，必須讓組織內(nèi)各個部門的人員參與進來。除了IT和安全團隊，包括客戶支持、人力資源、法律、合規(guī)和高級管理人員。以下是事件響應工作的九項主要構成：

1. DevOps

響應K8s安全事件幾乎總是需要部署、回滾、更改集群配置，或者部署策略中指定的這些組合。所有這些操作都是DevOps人員的權限。DevOps團隊必須有一個明確的流程，用于識別哪個構建或配置更改導致了安全事件，以及如何恢復到已知的正常配置或使用修復程序前滾。

2. 軟件開發(fā)

當發(fā)生安全事件時，通常意味著容器或應用程序中的漏洞正在K8s集群中運行，修復漏洞需要軟件開發(fā)人員。事件響應者和開發(fā)者之間必須有明確的溝通渠道。開發(fā)人員需要確切知道安全問題在哪個組件中，以及在哪些代碼行中。開發(fā)團隊還必須將修復漏洞工作賦予優(yōu)先處理流程，然后將其推向生產(chǎn)環(huán)境。這是強變化性管理項目的標準實踐，最終目標是讓事件的移交變得常規(guī)而直接。另外，在發(fā)生嚴重事件或確認入侵的情況下，制定非工作時間的支持制度也很重要。

3. 核心基礎設施

根據(jù)組織的不同，核心基礎設施可能由DevOps團隊、軟件可靠性和網(wǎng)站可靠性工程(SRE)人員或外部云提供商管理。事件響應者應該知道誰負責加固每個K8s部署的服務器和配置。如果在基礎設施級別發(fā)現(xiàn)漏洞，應該有明確的流程來獲得基礎設施或云提供商安全團隊的支持。

4. 建立事件響應策略

可以通過兩個步驟為K8s環(huán)境制定事件響應策略：制定事件響應計劃和準備容器取證。

5. 準備事件響應計劃

為K8s環(huán)境準備一份事件響應計劃至關重要。該計劃至少應包含以下四個階段，還可以根據(jù)需要進行擴展。

(1)識別

該步驟旨在跟蹤安全事件，以識別和報告可疑的安全事件。K8s監(jiān)控工具用于報告K8s節(jié)點和Pod中的活動。想要識別安全問題，如容器權限提升或惡意網(wǎng)絡通信，要使用專用的K8s安全工具。

(2)協(xié)作

一旦安全分析師發(fā)現(xiàn)事件，他們應該將其上報給高級分析師，并讓組織中的其他人參與進來。在上文中談到的DevOps、開發(fā)和基礎設施團隊建立的流程將非常有用。應該有一個事先與高管達成一致的明確流程，用于分享漏洞的詳細信息并得到優(yōu)先修復。

(3)解決

即使DevOps和開發(fā)人員盡到了自己的責任，事件響應團隊仍需擔負解決事件的最終責任。他們必須驗證修復效果，確保漏洞不再被利用，并清除系統(tǒng)中的入侵者和惡意軟件。然后，由相應人員著手恢復生產(chǎn)系統(tǒng)，同時與安全團隊合作，以確保漏洞的修復。

(4)持續(xù)改進

每一次安全事件都是學習和改進的機會。除了危機期間執(zhí)行的緊急修復之外，事件響應者還應與技術團隊會面，更為廣泛的分享安全問題的經(jīng)驗教訓。每一次事件都會改善K8s的集群配置，并識別出薄弱或缺失的安全控制。

6. 容器取證

一旦啟動K8s環(huán)境所需的安全保護措施，事件響應計劃應確保安全團隊能夠訪問所有必要的信息，以便進行取證分析。

7. 日志

K8s的日志組成中，有一些全面安全調(diào)查至關重要的一些日志，如API服務器日志、單個節(jié)點上的kubelet日志、云基礎設施日志、應用程序日志和操作系統(tǒng)日志等，特別要關注網(wǎng)絡連接、用戶登錄、安全Shell會話和進程執(zhí)行。

8. 節(jié)點的快照

對于任何部署，都必須執(zhí)行一個簡單、自動化的過程，對運行可疑惡意容器的節(jié)點進行快照。這樣做可以隔離節(jié)點，或者移除受感染的容器以恢復環(huán)境的其余部分。

使用節(jié)點快照可以進行以下分析：

• 調(diào)查并掃描磁盤鏡像是否存在惡意活動；
• 使用Docker Inspect和其他容器引擎工具調(diào)查容器級別的惡意活動；
• 詳細查看操作系統(tǒng)活動，以確定攻擊者是否設法突破容器以實現(xiàn)Root訪問。

9. 容器可見性工具

建議DevOps安全分析師首先利用K8s和Docker中可用的工具，包括Docker statistics API，幫助他們收集系統(tǒng)指標。對于只需要知道系統(tǒng)在大規(guī)模運行時如何受容器負載影響的分析人員來說，系統(tǒng)指標非常有用。

容器可見性工具幫助DevOps了解容器和Pod內(nèi)發(fā)生的事情。例如，它們可以幫助安全團隊了解重要文件是否丟失或容器中是否添加了未知文件，監(jiān)控實時網(wǎng)絡通信，并識別容器或應用程序級別的異常行為。所有信息都要在無需容器登錄憑證的情況下可用。