手机网站信任从哪里设置,杭州公司注册地址可以是住宅吗,免费空间服务的网站,上海网站制作智能 乐云践新来源 | 玉符科技在传统的研发中#xff0c;我们经常关注的「安全」包括代码安全、机器#xff08;运行环境#xff09;安全、网络运维安全#xff0c;而随着云原生时代的到来#xff0c;如果还按原有的几个维度切分的话#xff0c;显然容易忽略很多云原生环境引入的新挑战… 来源 | 玉符科技在传统的研发中我们经常关注的「安全」包括代码安全、机器运行环境安全、网络运维安全而随着云原生时代的到来如果还按原有的几个维度切分的话显然容易忽略很多云原生环境引入的新挑战我们需要基于网络安全最佳实践——纵深防御原则来逐步剖析「云原生的安全」并且对不同层次的防御手段有所了解从而建立自己的云原生安全理念真正搭建一个内核安全的云原生系统。注“纵深防御”指在计算机系统中的多个层面使用多种网络安全技术从而减少攻击者利用关键业务资源或信息泄露到系统外部的总体可能性。在消息传递和协作环境中纵深防御体系可以确保恶意攻击活动被阻止在基础结构内的多个检查点降低了威胁进入内部网络的可能性。以 玉符 IDaaS 系统为例我们把一个云原生系统安全模型分为 4 个层面由外至内分别是云/数据中心/网络层、集群层、容器层、代码层如下图所示对于这里安全模型的每一层都是单向依赖于外层的。也就是说外层的云、集群、容器安全如果做得好代码层的安全就可以受益而反过来我们是无法通过提高代码层的安全性来弥补外层中存在的安全漏洞或问题。基于上述这一点原理我们的纵深防御策略是「自外而内」地进行“设防”。云/数据中心/网络层安全这一层也可以称之为基础设施安全不管从何角度公有或私有云或企业数据中心以及对应的网络安全是 K8s 集群最根本的安全基础如果这一层存在安全漏洞或者过于脆弱则整个系统都不能在此基础上保证组件的安全。我们除了需要防御传统的攻击如 ARP 伪装、DDOS、网络层各类报文等攻击应该针对 Kubernetes 集群采取以下保护措施1. 不允许在 Internet 上公开对 Kubernetes 管理平台Control Plane的所有访问同时仅开放部分可信 IP 可以访问 Kubernetes 管理 API。2. 所有节点只暴露指定的端口包括对管理平台的内部端口和来自 NodePort 和 LoadBalancer 类型的 Kubernetes 服务的连接并且不应该直接暴露到 Internet。3. 通过云提供商或机房的网络层安全组例如 AWS 的 Security Group对管理平台以及节点授予最小权限控制4. 对etcdKubernetes 的基础存储的访问进行严格控制仅允许来自集群管理平台的访问应强制所有连接都使用TLS并确保所有信息都是在持久化层被加密的Encryption at rest。集群层保护 Kubernetes 集群有两个主体需要关注集群与组件运行的服务或应用保护 Kubernetes 集群组件与服务或应用针对这两个主体的保护我们的保护可以分为 4 大块管理 API 的访问控制、Kubelet 的访问控制、Runtime运行时工作负载或用户功能的访问控制、集群组件的安全漏洞防护如下图所示。1. 管理 API 的访问控制 a. 强制 TLS 保护传输层 b. 强制 API 认证 c. 强制 API 授权机制RBAC2. Kubelet 的访问控制 a. 生产环境启用身份验证 b. 身份授权(RBAC) c. 强制 TLS 保护传输层3. Runtime运行时工作负载或用户功能的访问控制 a. 限制使用特权容器 b. 合理限制资源负载 c. 防止加载非必要内核模块 d. 限制 Pod 越权访问其他节点 e. 基础数据凭证的访问控制 4. 集群组件的安全漏洞防护 a. 禁止未授权访问 etcd b. 启用审核日志记录 c. 定期轮换基础架构凭证 d. 定期升级修复漏洞容器层到了这一层由于跟 Kubernetes 特性不是强相关我们能提供一些通用的安全措施和建议代码层程序代码层是最容易受攻击但也是最可控的部分之一。虽然一般负责这块安全的人员不一定是运维开发DevOps可能是专门的安全工程师Sec Eng但有一些基本共性理念和建议是可以互相借鉴的。总体来说云原生时代的这四层架构云/数据中心/网络层、集群层、容器层、代码层与传统架构比起来更加细化和更易受攻击。自外而内地践行每一层的安全最佳实践我们的纵深防御才能算是成功的每个在云原生技术上想长期获益的团队需要对此有共识。作者介绍陈伟嘉毕业于加州大学尔湾分校曾就职于Facebook、Splunk现任玉符科技 CTO负责玉符 IDaaS 技术架构设计和实现带领研发团队从 0 到 1 实现产品自主研发搭建无状态化支持、轻量化容器打包、运维自动化等微服务架构。参考资料[1]https://baike.baidu.com/item/%E7%BA%B5%E6%B7%B1%E9%98%B2%E5%BE%A1/8282191?fraladdin[2]https://kubernetes.io/docs/concepts/security/overview/[3]https://www.stackrox.com/post/2020/09/protecting-against-kubernetes-threats-chapter-8-lateral-movement/更多阅读推荐硅谷2020最新大数据学习路线科学使用这一招12周助你成为数据分析师Service Mesh 在超大规模场景下的落地挑战微软全球 AKS 女掌门人这样击破云原生“怪圈”从程序媛到微软全球 AKS 女掌门人技术女神驾到常程跳槽小米联想已付竞业协议股权对价 500 万须偿还
