5 بهترین روشهای امنیتی – تیم امنیت اطلاعات

ازvpn

اگر این توصیه های امنیتی استقرار Kubernetes را رعایت نمی کنید ، ظروف اصلی شما و فناوری شما ممکن است در معرض خطر باشد.


هرکسی که طی چند سال گذشته کوبننت ها و ظروف را دنبال می کند ، می داند امنیت به نقط central اصلی شکست این فناوری تبدیل شده است.

مشکلات امنیتی تقریباً در هر کجا بوجود می آید – از تصاویر کانتینر ، مکانیسم های اجرای ، شبکه های ضعیف محافظت شده ، و غیره.

بنابراین ، برای هر شغلی که به دنبال پذیرش ظرف است. فناوری سیاه ، اهمیت امنیت را نمی توان بیش از حد مورد تأکید قرار داد.

Portshift اخیراً لیستی از بهترین شیوه ها را برای حل مسائل امنیتی مربوط به پلت فرم K8s منتشر کرده است.

بیایید به این نکات امنیتی بپردازیم.

1. مجوز

مجوز احتمالاً یكی از كمترین مشكلات كوبرنتس است.

چرا؟

غلبه بر این همیشه آسان نیست زیرا مجبورید در چندین سطح با مجوز مقابله کنید.

این را بخاطر بسپار: مجوزهایی از تصاویر ، پرونده های پیکربندی ، برنامه ها و سرویس های شخص ثالث ، توسعه دهندگان مختلف و / یا کاربران وجود دارد … لیست مجوزهای ممکن را می توان ادامه داد و ادامه داد.

در از این که چرا حقوق در کوبنتز با استفاده از کنترل دسترسی مبتنی بر نقش پردازش می شود (RBAC

این مکانیسم کنترل قدرتمند و دقیق بر مجوز و دسترسی به شما امکان پذیر می کند.

RBAC API چهار نوع سطح بالا را اعلام می کند:

  • از نقش فقط می توان برای دسترسی به منابع در یک نام نام استفاده کرد ؛
  • ClusterRole منابع منطقه خوشه ای را اضافه می کند ، نقاط انتهایی منابع غیر منبع و نام فضای نام براساس نوع نقش ؛
  • RoleBinding مجوزهای تعریف شده در نقش را به کاربر یا گروهی از کاربران ارائه می دهد ؛
  • ClusterRoleBinding همان RoleBinding است ، اما برای کل خوشه. [19659020] ضروری است که هر مدیر طبقه K8 مجوز RBAC را فهمید.

    برای اطلاعات بیشتر حتماً اسناد رسمی RBAC را بررسی کنید.

    لیست بهترین شیوه های Portshift شامل یک روش مجوز RBAC است ، اما هشدار می دهد که چندین محدودیت عملیاتی را شامل می شود.

    2. سیاستهای امنیتی Hearth

    بهترین راه حل ، امنیت حیاط است.

    تحت [196590025] Under

Under شیئی است که شامل مجموعه ای از یک یا چند ظروف است.

همانطور که Portshift توصیه کرده است ، "کنترل تنظیمات استقرار مهم است. سیاست های امنیتی غلاف Kubernetes منابع در سطح خوشه ای هستند که به کاربران امکان می دهند با کنترل امتیازات ، دسترسی به حجم و تنظیمات امنیتی کلاسیک لینوکس ، مانند seccomp و پروفایل SELinux ، با خیال راحت غلافهای خود را مستقر کنند. "

توجه داشته باشید. سیاست امنیتی غلاف ، جنبه های مهم مشخصات را کنترل می کند. هدف PodSecurancePolicy مجموعه شرایطی را که یک غلاف باید برای تحقق بخشیدن به سیستم در نظر بگیرد ، تعریف می کند ؛ اگر رایانه شخصی نتواند به این حالت برسد ، پذیرفته نخواهد شد. سیاستهای امنیتی Pod به سرپرست اجازه دهید مواردی مانند:

  • شروع به کار بردن ظروف ممتاز
  • استفاده از فضاهای نام میزبان
  • با استفاده از نوع حجم
  • با استفاده از سیستم پرونده میزبان
  • مورد نیاز برای استفاده فقط برای ساعت ها موجود باشد تمایلات سیستم فایل root [
  • شناسه های کانتینر کاربر و گروهی
  • محدود کردن افزایش به امتیازات اصلی

اینها جنبه های کاملاً حساسی از آخوندهای شما هستند ، و شما باید فقط به نحوه تنظیم سیاستهای امنیتی خود برای آنها دقت کنید بلکه باید که به آنها دسترسی دارد.

3. از محیط تولید خود محافظت کنید

امنیت استقرار شما در Kubernetes به همان اندازه قابل اعتماد است که محیط تولیدی که در آن مستقر شده است ؛ این باید به صورت مجاز صورت گیرد ، اما نادیده گرفته می شود.

Portshift درباره این مشکل صحبت می کند:

هرچه شرکت ها استقرار هر چه بیشتر کار خود را به سمت تولید می گذارند ، این مهاجرت هنگام بار اعدام باعث افزایش حجم کار آسیب پذیر می شود. شما می توانید با استفاده از راه حل های گفته شده در بالا ، این مشکل را حل کنید و همچنین با اطمینان از اینکه سازمان شما فرهنگ سالم DevOps / DevSecOps

را حفظ کند ، محیط تولید شما باید ایمن باشد.

از شبکه های شما به محیط توسعه ، از جمله لپ تاپ های توسعه دهنده ، سرورها و همانطور که Portshift خاطرنشان کرد ، فرهنگ DevOps شما ساخته شده است.

اگر توسعه دهندگان شما در یک محیط امن کار نکنند ، شانس شما برای به خطر انداختن استقرار Kubernetes افزایش می یابد.

4. حفاظت از خط لوله CI / CD

ادغام مداوم / تحویل مداوم (CI / CD) امکان استقرار ، آزمایش و استقرار بارهای کاری را فراهم می کند.

برای اجرای این کار ، از تعدادی ابزار شخص ثالث مانند Helm و Flagger استفاده خواهید کرد.

برای اطمینان از اینکه استقرار Kubernetes شما حتی از حداقل امنیت برخوردار باشد ، شما باید همه موارد را در خطوط لوله CI خود مسدود کنید. / CD.

شما همیشه باید اقدامات امنیتی شدید را در این خط لوله و در هر نرم افزار یا خدماتی که به آن مربوط می شود ، اعمال کنید. در غیر این صورت ، طبق Portshift ، "مهاجمان می توانند هنگام استقرار این تصاویر دسترسی پیدا کنند و از این آسیب پذیری ها در محیط های تولید K8 بهره گیرند [19659054" بررسی کد تصویر و پیکربندی های استقرار در مرحله CI / CD ممکن است این مشکل را برطرف کند. "

این بخشی از کوبنتز است که می تواند الزامات امنیتی را نقض کند.

☸️ آموزش Ingress برای مبتدیان در Kubernetes

اگر این کار را نکنید. مطمئن شوید که چگونه یک ابزار خاص به خط لوله CI / CD شما دسترسی پیدا می کند و چگونه مواردی مانند مجوز را کنترل می کند ، اطلاعاتی راجع به آن اطلاعات کسب کنید.

تنها نقطه عدم موفقیت در خط لوله CI / CD شما می تواند باشد. از امنیت فاجعه آمیز برای استقرار خود برخوردار باشید به طور کلی Kubernetes. از جمله ایستگاه های کاری توسعه دهنده ، سرورها و همانطور که Portshift به آن اشاره کرد ، فرهنگ DevOps شما است.

5. شبکه خدمات را به عنوان سطح امنیتی شبکه اضافه کنید

امنیت شبکه برای اشخاص Kubernetes شما بسیار مهم است و نباید از آن غافل شد.

مش خدمات

امنیت شبکه را با اضافه کردن یک لایه زیرساخت اختصاصی برای شما تقویت می کند. برای ساده کردن تبادل داده ها بین سرویس ها بین خدمات خرد و تعادل ترافیک بین خدمات بر اساس سیاست های خاص.

به این سوال ، Portshift می گوید:

"مش سرویس همچنین تعدادی از مزیت های امنیتی ، قابلیت اطمینان و کنترلی را ارائه می دهد که می تواند باشد. قادر به مدیریت ترافیک خوشه ای و بهبود ثبات شبکه ، که توسط یک مدل امنیتی با اطمینان صفر تقویت شده است. "

Istio در حال حاضر بهترین ابزار انتخاب شما مش خدمات است.

☸️ سرویس کوبرنتس مش و Istio چیست

Istio به شما کمک می کند تا هوشمندانه کنترل جریان ترافیک و تماس های API بین سرویس ها را کنترل کنید ، به طور خودکار از خدمات خود با مجوز مدیریت شده محافظت کنید ، خط مشی ها را اعمال کنید و آنچه را که با ردیابی خودکار اتفاق می افتد ، کنترل کنید.

این لایه دیگری است که شما به یک ساختار قبلاً پیچیده اضافه می کنید ، بنابراین قبل از استفاده از Istio ، مطمئن شوید که آن را درک کرده اید.

همچنین: