本文翻譯自 ContainerJournal 的 2022 年度文章之一 《Implementing Zero-Trust on Kubernetes》[1]，作者 Deepak Goel 在文中分享了 Kubernetes 上實(shí)施零信任的三個(gè)最佳實(shí)踐。

作為云原生社區(qū)的基石，Kubernetes 幫助企業(yè)在生產(chǎn)環(huán)境中更高效地部署和管理容器。盡管 Kubernetes 最初設(shè)計(jì)時(shí)提供了基本的 安全功能[2]，但廣泛且迅速的采用以及日益復(fù)雜的威脅形勢(shì)使 Kubernetes 更容易受到攻擊。開(kāi)發(fā)人員和安全專家當(dāng)下的任務(wù)是擴(kuò)展 Kubernetes 的內(nèi)置安全性，以有效防范更復(fù)雜、更多樣和更頻繁的網(wǎng)絡(luò)攻擊。

以往“信任但要驗(yàn)證”的方式已被證明對(duì)云計(jì)算復(fù)雜的分布式特性無(wú)效，因此 Kubernetes[3] 必須轉(zhuǎn)向“從不信任，始終驗(yàn)證”的零信任模型思想，為業(yè)務(wù)提供更大的保護(hù)。

零信任模型的基本概念

基于“從不信任，始終驗(yàn)證”的原則，可以用三個(gè)基本概念來(lái)解釋零信任模型：

安全網(wǎng)絡(luò)：始終認(rèn)為網(wǎng)絡(luò)是敵對(duì)的和有威脅的。網(wǎng)絡(luò)上的內(nèi)部和外部數(shù)據(jù)和信息不斷暴露在安全威脅之下。

安全資源：網(wǎng)絡(luò)上存在的任何信息源，無(wú)論位于何處，對(duì)其都應(yīng)持懷疑態(tài)度。

身份驗(yàn)證：默認(rèn)情況下不應(yīng)信任來(lái)自內(nèi)部或外部網(wǎng)絡(luò)的用戶、設(shè)備和流量。零信任應(yīng)該基于使用正確的身份驗(yàn)證和授權(quán)的訪問(wèn)控制。

零信任的三個(gè)最佳實(shí)踐

Kubernetes 提供了靈活性，既是優(yōu)勢(shì)但也增加了復(fù)雜性，為了在不同的網(wǎng)絡(luò)環(huán)境中運(yùn)行，為服務(wù)和工作負(fù)載引入了許多配置選項(xiàng)。Kubernetes 部署考慮以下三個(gè)零信任模型的最佳實(shí)踐，以提升安全保護(hù)和工作效率。

優(yōu)化軟件配置和訪問(wèn)權(quán)限

團(tuán)隊(duì)需要為服務(wù)和跨集群操作提供一致的配置。雖然 Kubernetes 提供了多種配置選項(xiàng)，但過(guò)多的選項(xiàng)會(huì)增加安全問(wèn)題出現(xiàn)的幾率。使用零信任框架，組織可以對(duì)服務(wù)進(jìn)行持續(xù)驗(yàn)證并將其部署到多個(gè)集群，而不會(huì)危及任何安全性。通過(guò)在授予它們對(duì)應(yīng)用程序和服務(wù)的任何安全權(quán)限之前仔細(xì)檢查這些配置，組織可以加強(qiáng)分布式 Kubernetes 集群的安全性。

使用零信任模型提高 Kubernetes 安全性的另一種方法是只為軟件提供運(yùn)行所需的權(quán)限和功能。雖然確定軟件所需的確切權(quán)限和功能并不是那么容易，但更好地了解這些元素可以降低安全風(fēng)險(xiǎn)。對(duì)于云端的容器編排環(huán)境，相比本地環(huán)境，賦予有限的權(quán)限和能力更為重要。

譯者注：持續(xù)驗(yàn)證、最小權(quán)限原則

記錄和監(jiān)控?cái)?shù)據(jù)

重要的是提供必要的安全數(shù)據(jù)，使開(kāi)發(fā)人員和安全專家能夠衡量、預(yù)測(cè)、避免和防御潛在的安全風(fēng)險(xiǎn)。例如，組織應(yīng)該記錄服務(wù)識(shí)別的用戶 ID 或組 ID，尤其是在集群環(huán)境。這可確保組織使用所需的 ID 來(lái)幫助服務(wù)和軟件團(tuán)隊(duì)更快地識(shí)別匿名攻擊。日志記錄也將是在云原生環(huán)境中提供安全可追溯性的信息的關(guān)鍵部分。

有了足夠的安全數(shù)據(jù)，團(tuán)隊(duì)還可以重新思考和優(yōu)化他們的安全實(shí)踐和應(yīng)用程序更新，以應(yīng)對(duì)不斷變化的技術(shù)環(huán)境，幫助確保持續(xù)抵御攻擊。

譯者注：提供數(shù)據(jù)支撐

專注于人員和流程管理

除了來(lái)自外部網(wǎng)絡(luò)的用戶和設(shè)備之外，合作伙伴、利益相關(guān)者或任何有權(quán)訪問(wèn)組織的數(shù)據(jù)庫(kù)和容器化應(yīng)用程序的人都是潛在的 Kubernetes 安全威脅。因此，培訓(xùn)內(nèi)部人員以避免潛在的內(nèi)部威脅至關(guān)重要。如上所述，組織可以從記錄和監(jiān)控平臺(tái)數(shù)據(jù)開(kāi)始，同時(shí)讓所有利益相關(guān)者了解市場(chǎng)上普遍存在的各種攻擊策略。

除了適當(dāng)?shù)呐嘤?xùn)之外，優(yōu)化日常運(yùn)營(yíng)中的安全流程有助于支撐零信任模型，并最大限度地減少網(wǎng)絡(luò)攻擊對(duì)企業(yè)云上服務(wù)的影響。一些推薦的安全流程包括積極審查網(wǎng)絡(luò)管理、防火墻清單以及定期檢查容器和軟件鏡像。

由于 air-gapped 為云中的復(fù)雜部署模式提供了軍事級(jí)安全級(jí)別，我建議組織將這些操作流程與 air-gapped 實(shí)現(xiàn)相結(jié)合，為 Kubernetes 項(xiàng)目提供額外的安全級(jí)別。

譯者注：人員培訓(xùn)、流程約束必不可少

結(jié)論

在生產(chǎn)環(huán)境中部署和管理 Kubernetes 時(shí)，安全性不再是事后的想法。違規(guī)、中斷和數(shù)據(jù)盜竊是嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，可能對(duì)組織產(chǎn)生不利影響。數(shù)據(jù)和信息記錄、員工安全培訓(xùn)和流程優(yōu)化等零信任實(shí)踐是保護(hù) Kubernetes 項(xiàng)目和 IT 基礎(chǔ)架構(gòu)的有效且實(shí)用的方法。通過(guò)實(shí)施這些實(shí)踐，組織可以更好地保護(hù) Kubernetes 部署。遵循這種零信任模型將使開(kāi)發(fā)人員和運(yùn)維人員無(wú)需擔(dān)心集群和基礎(chǔ)設(shè)施安全問(wèn)題，同時(shí)使安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诎踩?，而不是迷失?Kubernetes 配置中。

參考資料

[1] 《Implementing Zero-Trust on Kubernetes》: https://containerjournal.com/features/implementing-zero-trust-on-kubernetes/

[2] 安全功能: https://containerjournal.com/editorial-calendar/rsa/15-point-kubernetes-security-checklist/

[3] Kubernetes: https://d2iq.com/resources/cheat-sheet/kubernetes-security