随着企业寻求更快、更灵活的开发框架,容器和 kubernetes(k8s)的使用率持续上升。
随着企业寻求更快、更灵活的开发框架,容器和 kubernetes(k8s)的使用率持续上升。虽然理论上kubernetes 与传统应用程序相比具有多项安全优势,但安全仍然是企业在云原生进程上最关心的问题之一。而这种担忧似乎不无道理。近期有报告发现,包括多家财富 500 强企业在内的 350 多家企业的 kubernetes 集群均可被公开访问,并暴露在勒索软件等网络攻击之下。那么,为什么即便是这样的大企业在kubernetes的安全问题上也会陷入苦战呢?
迅速失败
安全问题就像一场比赛。通常情况下,这指的是安全团队在攻击者采用新技术之前就采取行动,以应对新出现的技术和漏洞。然而,有时跟上自己企业的步伐就像采用新技术一样。无论是哪场比赛,安全问题都必须得到同步解决,确保无论企业选择何种方向,都能够保障安全。
enterprise strategy group最近的一份报告发现,kubernetes的使用即将迎来“转折点”——到2024 年底,将有82%的企业使用容器。容器被投入使用至今已有十多年。尽管采用kubernetes的速度并不快,但当企业决定涉足新领域时,都会面临学习曲线。对于kubernetes技术而言,在开发人员和安全团队争分夺秒地开发新应用时,可能会忽略一些潜在的隐患。
速度与安全性之间的权衡,对于开发团队而言是一个司空见惯的问题。采用容器的主要原因之一是为了追求速度和敏捷性,因此因为快速采用kubernetes而留下一些漏洞也就显得不足为奇了。不安全的开发从来都不是有意为之,但如果企业认为增加新功能或者从头开发一款新产品是一项有压力的任务,就必须有所妥协。
遏制混乱
kubernetes的漏洞往往归咎于设计和开发阶段的错误配置。前面提到的时间安排是一个因素,但缺乏k8的相关知识往往才是主要的原因。
aqua security的报告发现了数百个易受攻击的容器环境,其中主要有两个关键的错误配置。第一个是匿名用户只需要单层身份验证,如果通过了,就可以被授予匿名访问权限,而其中也包括管理员权限。这就好比在跑车上装了一把脆弱的锁,而钥匙就在启动引擎上。另一个常见漏洞是集群配置错误,在某些地方集群会暴露给公众。这可能会让攻击者利用“kubectl”等工具轻易地连接到你的kubernetes集群,并开始大肆攻击。
这个问题不仅在k8s上在有所体现,所有类型的应用程序都有这个问题,在没有必要的情况下暴露在互联网上已然成为一种常见的攻击媒介。互联网访问是攻击者入侵的另一扇门。如果无法通过互联网进行访问,也就不用担心网络攻击了。这又回到了零信任或“最小特权原则”——即使是云原生应用,也不是所有东西都可以随时可访问。
备份
同样,专业人员不会在某天醒来后突然决定在应用程序中开展安全漏洞检查。这是知识差距和快速开发的时间表所形成的结果。随着时间推移,开发人员对云原生平台的经验越来越丰富,这些问题也将变得不那么常见。而这就强调了对强大备份和恢复流程的需求。网络弹性是多层次的。您永远无法完全依赖于您的第一道防线(应用程序安全),因此企业有东西可以依靠是至关重要的。
不幸的是,这是kubernetes的另一个领域,我们看到的是一条陡峭的学习曲线。enterprise strategy group关于kubernetes保护的最新报告发现,33%使用kubernetes的企业仍在使用与普通应用程序相同的数据保护工具和流程。而这也是一个问题。云原生应用程序需要云原生备份凯发k8官网下载的解决方案。虽然这些公司会有备份,因此可能会认为自己是安全的,但传统备份无法追踪kubernetes的移动部分。这意味着当您尝试恢复数据时,可能会导致性能问题以及数据丢失。
如果安全和恢复存在根本性缺陷,企业就会完全暴露在勒索软件等攻击面前。据记录,9 月份是勒索软件攻击最多的月份之一,因此企业必须确保自己能够正确应对。这并不是在呼吁避免或停止使用kubernetes或基于容器的应用,因为这个问题远非这么简单。但是,安全性必须跟上任何新的开发实践,否则犯罪分子就会乘虚而入。这些环境非常复杂,仅凭一己之力难以驾驭,因此开发、安全和运维(devsecops)至关重要。开发团队和安全团队之间的合作可以从一开始就确保基础设施的安全,并保证企业免受无休止的勒索软件浪潮的侵袭。
迅速失败
安全问题就像一场比赛。通常情况下,这指的是安全团队在攻击者采用新技术之前就采取行动,以应对新出现的技术和漏洞。然而,有时跟上自己企业的步伐就像采用新技术一样。无论是哪场比赛,安全问题都必须得到同步解决,确保无论企业选择何种方向,都能够保障安全。
enterprise strategy group最近的一份报告发现,kubernetes的使用即将迎来“转折点”——到2024 年底,将有82%的企业使用容器。容器被投入使用至今已有十多年。尽管采用kubernetes的速度并不快,但当企业决定涉足新领域时,都会面临学习曲线。对于kubernetes技术而言,在开发人员和安全团队争分夺秒地开发新应用时,可能会忽略一些潜在的隐患。
速度与安全性之间的权衡,对于开发团队而言是一个司空见惯的问题。采用容器的主要原因之一是为了追求速度和敏捷性,因此因为快速采用kubernetes而留下一些漏洞也就显得不足为奇了。不安全的开发从来都不是有意为之,但如果企业认为增加新功能或者从头开发一款新产品是一项有压力的任务,就必须有所妥协。
遏制混乱
kubernetes的漏洞往往归咎于设计和开发阶段的错误配置。前面提到的时间安排是一个因素,但缺乏k8的相关知识往往才是主要的原因。
aqua security的报告发现了数百个易受攻击的容器环境,其中主要有两个关键的错误配置。第一个是匿名用户只需要单层身份验证,如果通过了,就可以被授予匿名访问权限,而其中也包括管理员权限。这就好比在跑车上装了一把脆弱的锁,而钥匙就在启动引擎上。另一个常见漏洞是集群配置错误,在某些地方集群会暴露给公众。这可能会让攻击者利用“kubectl”等工具轻易地连接到你的kubernetes集群,并开始大肆攻击。
这个问题不仅在k8s上在有所体现,所有类型的应用程序都有这个问题,在没有必要的情况下暴露在互联网上已然成为一种常见的攻击媒介。互联网访问是攻击者入侵的另一扇门。如果无法通过互联网进行访问,也就不用担心网络攻击了。这又回到了零信任或“最小特权原则”——即使是云原生应用,也不是所有东西都可以随时可访问。
备份
同样,专业人员不会在某天醒来后突然决定在应用程序中开展安全漏洞检查。这是知识差距和快速开发的时间表所形成的结果。随着时间推移,开发人员对云原生平台的经验越来越丰富,这些问题也将变得不那么常见。而这就强调了对强大备份和恢复流程的需求。网络弹性是多层次的。您永远无法完全依赖于您的第一道防线(应用程序安全),因此企业有东西可以依靠是至关重要的。
不幸的是,这是kubernetes的另一个领域,我们看到的是一条陡峭的学习曲线。enterprise strategy group关于kubernetes保护的最新报告发现,33%使用kubernetes的企业仍在使用与普通应用程序相同的数据保护工具和流程。而这也是一个问题。云原生应用程序需要云原生备份凯发k8官网下载的解决方案。虽然这些公司会有备份,因此可能会认为自己是安全的,但传统备份无法追踪kubernetes的移动部分。这意味着当您尝试恢复数据时,可能会导致性能问题以及数据丢失。
如果安全和恢复存在根本性缺陷,企业就会完全暴露在勒索软件等攻击面前。据记录,9 月份是勒索软件攻击最多的月份之一,因此企业必须确保自己能够正确应对。这并不是在呼吁避免或停止使用kubernetes或基于容器的应用,因为这个问题远非这么简单。但是,安全性必须跟上任何新的开发实践,否则犯罪分子就会乘虚而入。这些环境非常复杂,仅凭一己之力难以驾驭,因此开发、安全和运维(devsecops)至关重要。开发团队和安全团队之间的合作可以从一开始就确保基础设施的安全,并保证企业免受无休止的勒索软件浪潮的侵袭。
责任编辑:
