本文主要講到,隨著容器化和微服務(包括編排器Kubernetes)的廣泛應用,給企業在構建設計安全的基礎設施和應用程式帶來了新的挑戰和機遇,正確的使用和配置DevOps可以構建一個更加安全的環境。目前,我們處於容器、編排器、微服務和DevOps功能不斷融合發展的時代,要抓住機會,追求構建更加安全可靠的系統。
容器和微服務技術(包括編排器Kubernetes)為構建設計安全的基礎設施和應用程式提供了絕佳的機會。
容器化環境是數字化轉型的核心,它正在以驚人的速度成為主流。雲原生架構和以微服務為基礎的應用程式對公司快速發展至關重要。為了盡可能安全快速發展,公司必須儘快使他們的容器安全策略和實現方式更成熟。
隨著生產部署的加快,安全漏洞變得異常明顯,這給企業帶來了直接的風險。我們早已知道傳統的安全工具和產品已經無法保護容器和微服務。大多數使用容器部署的公司都擔心安全策略和投資不足,並希望有新的公司能提供專門的解決方案。
隨著部署到新的容器安全平臺,公司意識到他們還必須利用雲原生和容器生態系統固有的安全能力和體系結構。容器和微服務技術(比如Kubernetes)為構建設計安全的基礎設施和應用程式提供了絕佳的機會。這些技術的最佳安全平臺是利用整個生態系統的強大功能,而不是新增從基礎設施中分離出去的一部分安全功能。
當構建和正確使用容器環境時,本質上會更加安全。但是,要安全地配置和執行這些系統需要一定的經驗。通常,安全團隊對容器或Kubernetes沒有經驗。許多公司正在根據採用的容器重新考慮它們的安全形色和職責。
加強Kubernetes安全性是組織為保護容器化應用程式所能做的最基本的事情之一。Kubernetes已經成為大多數容器部署的首選編排器。它之所以是一個強大的解決方案,部分原因在於您可以在多大程度上對其進行控制,但是有許多“旋鈕”需要進行調整,這可能會導致錯誤。如果沒有正確設定儀錶板並實現基於角色的訪問控制,則可能透過不必要的暴露引入業務風險。另外,因為Kubernetes的廣泛應用,它正成為一個標準。
我們建議將時間花在保護和加固上——Kubernetes包含許多活動部件,考慮到它在應用程式開發中的角色,應該由哪個團隊來保護它就成了問題。
隨著雲服務和雲原生架構的興起,CIO團隊已經從提供和執行基礎設施轉向支援應用程式。現在,隨著容器化,安全團隊正在進行類似的轉變,啟用而不是操作安全功能。這是因為隨著安全性越來越貼近應用程式,它就進入了DevOps領域。由於DevOps團隊成員在構建、測試和部署應用程式方面的專業知識和核心角色,他們必須負責保護這些應用程式及其基礎設施。安全團隊可能仍將定義策略並設定護欄,但DevOps將越來越多地使用最接近容器化應用程式的安全工具。
DevOps還知道如何在軟體開發生命週期的早期將安全性構建到基礎設施中。透過容器技術的粒度,可以提高擴充套件性和敏捷度。在雲原生環境中,控制層與資料層相互交織,可以編寫一層邏輯來構建連續的、即時的執行。
容器和微服務使你能夠在幾乎連續的基礎上進行修改(包括安全修複)。要修複問題,只需用一個好映象替換一個壞映象,停止掉受影響的容器,當這些容器重新構建時,它們將自動使用更新的映象。這樣,您就可以在不破壞整個應用程式的情況下解決安全漏洞。
透過將安全解決方案織入基礎設施,並使其更接近應用程式,DevOps會讓駭客非常頭疼。如果他們成功滲透,壞人通常只能看到一個容器裡的東西——擴大攻擊範圍意味著他們必須多次複製入侵策略。
給定容器固有的安全構造,安全性和DevOps團隊可以一起工作來保護基礎設施。安全團隊成員不必完全理解所有的開發工具——他們可以專註於共享應用於新開發工具的安全原則和策略。如果DevOps和Security實現了一個集成了本地DevOps工具的容器安全平臺,例如使用Kubernetes來執行網路策略,那麼它們可以更好地學習如何以新的方式一起工作並使用彼此的語言。
智慧的、可操作的、內建的可見性和控制應該是任何負責任的安全模型的組成部分。這已經是一個很高的要求了。使用容器技術,我們增加了可移植性的需求。對於試圖跨混合和多雲部署操作和保護容器的企業,安全模型必須是整體的、高度可移植的和深度整合的。健康、漏洞管理和預防是當今安全工作的方向。
隨著使用容器化和雲原生模型構建了更重要的基礎設施,我們需要將註意力轉移到監測上。
漏洞掃描和加固固然很重要,但是要處理執行時攻擊,您需要監測功能。而且您不能手工修複——設計成快速伸縮和頻繁迭代的系統,就像容器那樣,需要自動化和機器學習。Kubernetes和容器提供了對監測到的所有內容自動執行特定響應的功能。最有效的安全解決方案將是那些使可操作的監測成為可能的方案——並消除適得其反的警報流。
還有更多的事情要做。由於容器、編排器、微服務和DevOps功能的聚合,我們正處於令人興奮的各種可能性的中心。如果我們能把握這一勢頭,我們就能提高標準,促進可移植性和安全整合,鼓勵合作,併進行戰略投資,以建立整體的、可持續的系統,保護我們數字化改造後的世界。
原文連結:https://www.darkreading.com/vulnerabilities—threats/security-at-the-speed-of-devops-maturity-orchestration-and-detection/a/d-id/1333583
Kubernetes實戰培訓將於2019年3月8日在深圳開課,3天時間帶你係統掌握Kubernetes,學習效果不好可以繼續學習。本次培訓包括:雲原生介紹、微服務;Docker基礎、Docker工作原理、映象、網路、儲存、資料捲、安全;Kubernetes架構、核心元件、常用物件、網路、儲存、認證、服務發現、排程和服務質量保證、日誌、監控、告警、Helm、實踐案例等。
長按二維碼向我轉賬
受蘋果公司新規定影響,微信 iOS 版的贊賞功能被關閉,可透過二維碼轉賬支援公眾號。