随着组织依赖它来部署应用程序,开源Kubernetes容器编排项目近年来变得越来越重要。随着对安全性的日益依赖,对安全性的审查也越来越严格,尤其是谷歌,谷歌拥有一个名为谷歌Kubernetes引擎(GKE)的托管Kubernetes服务。
在西雅图举行的12月11日至13日举行的KubeCon会议之前的新闻发布会上,Google的安全与隐私产品经理Maya Kaczorowski概述了Google为帮助现在和将来保护Kubernetes所采取的措施。
“客户主要询问有关配置和安全设置Kubernetes的问题,”她说。
Kubernetes是一项最初由Google创建和领导的开源工作; 自2015年以来,Kubernetes一直在云计算本地计算基金会(CNCF)举办。Amazon Web Services和Microsoft Azure都运行自己的托管Kubernetes服务,还有来自多家供应商的商业产品,包括IBM,Red Hat,SUSE,Pivotal和Cisco等。GKE服务基于上游Kubernetes项目,并提供Google对Kubernetes如何在公共云中运行的观点。
Kaczorowski表示,客户向Google询问有关GKE的问题包括基础设施安全问题,组织对Kubernetes安全功能如何用于保护用户身份感到好奇。组织也对软件供应链以及给定的容器应用程序映像是否可以安全部署感到好奇。她指出,在报告了Docker Hub中的易受攻击的应用程序以及NPM事件流模块中的最新问题后,容器应用程序映像的安全性在2018年成为许多组织的一个更大的问题。
“用户担心他们的环境会出现什么,”她说。
Kaczorowski补充说,更复杂的用户询问有关运行时安全性的问题以及如何识别恶意行为的容器。用户还有兴趣了解如何对受安全问题影响的容器进行取证。
谷歌正在做什么
Google不仅将上游Kubernetes按原样部署并将其部署为GKE。相反,Kaczorowski说谷歌默认实施安全最佳实践。
“我们超越了开源中的内容,并为保护用户提供了额外的限制,”她说。
GKE最突出的限制之一是受限制的Kubernetes仪表板。包括特斯拉和慧俪轻体在内的多个组织在2018年遭遇Kubernetes环境攻击,原因是他们将Kubernetes仪表板打开并暴露在互联网上。Lacework 于6月19日发布的一项研究发现21,169公开面向Kubernetes仪表板,其中300个部署被发现具有开放的管理仪表板,没有任何必需的访问凭证。
Google还利用私有群集和授权网络来帮助保护GKE用户。
“这是为节点提供私有IP地址,然后使用用户白名单中的一组IP地址限制对控制平面的IP访问,”Kaczorowski说。
Kubernetes运行在操作系统之上; 在谷歌的情况下,它是一个最小化的操作系统,经过强化并且是专门构建的。Kaczorowski表示,最小的操作系统基于谷歌的Chromium操作系统,它支持谷歌Chromebook。她说,GKE操作系统需要最小化才能减少潜在漏洞的攻击面。
“它不需要很多东西,因为你带来了很多东西和你的容器,因此谷歌为这一层构建了自己的操作系统,称为容器优化的操作系统,或COS,它建立在Chromium上,“ 她说。
升级安全补丁始终是IT的最佳实践,而GKE通过其节点自动升级功能实现升级。Kaczorowski表示,GKE为用户管理Kubernetes控制平面,包括更新该控制平面并在需要时对其进行修补。
7月24日Google Next会议宣布了另一项核心Google容器安全功能,推出了Container Registry漏洞服务,该服务提供容器映像的自动扫描,以帮助识别已知漏洞。在Next,谷歌还宣布了二进制授权,它可以在图像部署到生产环境之前验证图像是否符合某些要求。在5月3日的KubeCon Europe活动中,Google宣布了其容器运行时安全性工作,涉及与Aqua Security,Capsule8,StackRox,Sysdig和Twistlock的合作。在与eWEEK的视频采访中,Kaczorowski详细介绍了集装箱安全合作伙伴关系的内容。
2019年展望
展望2019年,Kaczorowski看到了IT安全领域的两大核心趋势。第一个是简化一切。
“现在,使用正确配置让Kubernetes正常运行的用户负担非常高,”她说。“所以在GKE中,我们已经做了很多工作来使这个更简单,但在开源版本中,这只是一场挣扎。”
Kaczorowski希望核心开源Kubernetes社区能够简化Kubernetes并提供更好的默认设置。
特定于Kubernetes的攻击是Kaczorowski预测的另一件事。到目前为止,许多针对容器的攻击都可归类为“偷渡”攻击,攻击者会随机扫描寻找已知漏洞的环境,她说。
“攻击者可能甚至没有意识到他们正在攻击集装箱化的环境,他们可能甚至都不关心,”她说。“我们可能会开始看到人们更多地扫描Kubernetes漏洞,意识到他们在一个容器中试图在这方面做一些更有趣的事情,或有目的地寻找容器来定位,因为他们可能认为他们是配置错误“。
