随着众多企业依赖Kubernetes来部署应用程序,这个开源容器编排项目近些年来变得越来越重要。越来越依赖的同时安全方面的审查也越来越严,尤其是在谷歌,谷歌提供一项名为谷歌Kubernetes引擎(GKE)的托管Kubernetes服务。
12月11日至13日KubeCon大会在西雅图如期召开,谷歌的安全与隐私产品经理Maya Kaczorowski在之前举办的新闻发布会上概述了谷歌现在和将来为帮助保护Kubernetes所采取的措施。 她说:“客户询问的问题主要围绕配置和安全地搭建Kubernetes。” Kubernetes是一个最初由谷歌开发和领导的开源项目;自2015年以来,Kubernetes一直归云原生计算基金会(CNCF)监管。AWS和微软Azure都运行各自的托管Kubernetes服务,还有来自多家供应商的商业产品,包括IBM、Red Hat、SUSE、Pivotal和思科等。GKE服务基于上游的Kubernetes项目,体现了谷歌对于Kubernetes在公共云中如何运行的看法。 Kaczorowski表示,客户向谷歌询问GKE方面的诸多问题,包括基础设施安全问题,许多企业很想知道如何利用Kubernetes安全功能来保护用户身份,它们还很想知道软件供应链以及某个特定的容器应用程序映像是否可以安全地部署。她特别指出,由于媒体报道Docker Hub中存在易受攻击的应用程序,加上NPM事件流模块最近爆出了问题,容器应用程序映像的安全性在2018年已成了许多企业关注的一大问题。 她说:“用户担心自己的环境会出现什么意外。” Kaczorowski补充道,比较精明的用户在询问运行时安全性问题以及如何识别存在恶意行为的容器。用户还有兴趣想了解如何对受安全问题影响的容器进行分析。 谷歌在做什么? 谷歌不仅仅将上游Kubernetes直接拿来部署成GKE。确切地说,Kaczorowski表示谷歌在默认情况下实施安全最佳实践。 她说:“我们不满足于开源社区的现状,落实了另外的限制措施,以保护用户。” GKE实施的最显著的限制之一就是受限制的Kubernetes仪表板。2018年,包括特斯拉和Weight Watchers在内的多家企业的Kubernetes环境遭到了攻击,就因为它们任由Kubernetes仪表板敞开、暴露于互联网上。Lacework在6月19日发布的一项调查发现了21169个面向公众的Kubernetes仪表板,其中部署的300个使用敞开的管理仪表板,并没有任何必需的访问登录信息。 谷歌还利用私有集群和授权网络来帮助保护GKE用户。 Kaczorowski说:“这么做的目的是为节点提供私有IP地址,然后使用用户白名单中的一组IP地址,对通过IP访问控制面板予以限制。” Kubernetes运行在操作系统上;以谷歌为例,这是一个极简操作系统,经过加固,并专门构建。Kaczorowski表示,这个极简操作系统基于谷歌的Chromium OS(支持谷歌Chromebook)。她表示,GKE OS需要尽量简单,以便减小潜在漏洞的攻击面。 她说:“它不需要很多东西,因为用户和容器带来了很多东西,于是谷歌为这一层构建了自己的操作系统,名为针对容器优化的操作系统(COS),它建立在Chromium上。” 对IT人员来说,升级打上安全补丁始终是最佳实践,而GKE通过其节点自动升级功能来做到这一点。Kaczorowski表示,GKE为用户管理Kubernetes控制平面,包括更新该控制平面,并在需要时打补丁。 7月24日谷歌Next大会上宣布了另一项核心的谷歌容器安全功能,当时推出了Container Registry Vulnerability服务,该服务提供自动扫描容器映像的功能,帮助识别已知的安全漏洞。在Next大会上,谷歌还宣布了Binary Authorization,该服务可以在映像部署到生产环境之前验证映像满足某些要求。在5月3日的KubeCon欧洲大会上,谷歌宣布了容器运行时安全项目,包括与Aqua Security、Capsule8、StackRox、Sysdig和Twistlock达成合作伙伴关系。Kaczorowski在接受eWEEK的视频采访时详细介绍了这个容器安全合作项目。 2019年展望 展望2019年,Kaczorowski预计IT安全领域会出现两大趋势。第一大趋势是简化一切。 她说“现在,做到让正确配置的Kubernetes搭建并运行起来,用户面临的压力相当大。于是在GKE中,我们做了大量的工作来简化这方面,但对开源版本而言,这实在太困难了。” Kaczorowski希望核心开源Kubernetes社区不仅仅满足于简化Kubernetes并提供更好的默认设置。 专门针对Kubernetes的攻击是Kaczorowski预测会出现的另一个趋势。她表示,到目前为止,针对容器的许多攻击可以归类为“路过式”攻击,即攻击者随机扫描环境,寻找已知漏洞。 她说:“攻击者甚至都没有意识到在攻击容器化的环境,他们可能甚至都不关心。我们可能会开始看到人们更频繁地扫描Kubernetes漏洞。” 原文标题:How Google Is Improving Kubernetes Container Security,作者:Sean Michael Kerner (责任编辑:IT) |