Lanzamientos de Kubernetes: 5 mejores prácticas de seguridad


Si no sigue estas mejores prácticas de seguridad de implementaciones de Kubernetes de Portshift, sus contenedores, sus tecnologías subyacentes y sus datos podrían estar en riesgo.

«data-credit =» Imagen: 123dartist, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>kubernetes.jpg

Imagen: 123dartista, Getty Pictures / iStockphoto

Dentro del ámbito de la seguridad de Kubernetes (K8), Portshift es uno de los muchos líderes de la industria La compañía se centra en la protección de la carga de trabajo basada en la identidad para aplicaciones nativas de la nube. Portshift ofrece soluciones para Kubernetes, seguridad Zero Have faith in, DevOps y cumplimiento.

Cualquiera que haya seguido a Kubernetes y contenedores en los últimos años sabe que la seguridad se ha convertido en un punto central de falla para esta tecnología. Los problemas de seguridad pueden surgir desde casi cualquier punto: desde imágenes de contenedores, motores de tiempo de ejecución, redes con poca seguridad, and many others. Por lo tanto, para cualquier empresa que busque adoptar la tecnología de contenedores, no se puede exagerar la importancia de la seguridad.

Portshift lanzó recientemente un lista de mejores prácticas para abordar los problemas de seguridad que rodean la plataforma K8s. Veamos estos consejos de seguridad.

VER: El estafador de Mastermind detrás de Capture Me If You Can habla de ciberseguridad (Descarga de TechRepublic)

1. Autorización

La autorización es probablemente uno de los problemas más ignorados con Kubernetes. ¿Por qué? No siempre es un obstáculo uncomplicated de superar, porque tienes que lidiar con la autorización en múltiples niveles. Considere esto: tiene autorización desde imágenes, archivos de configuración, aplicaciones y servicios de terceros, varios desarrolladores y / o usuarios … la lista de posibles autorizaciones continúa. Es por eso que los permisos en Kubernetes se manejan mediante el command de acceso basado en roles (RBAC).

Este mecanismo le brinda un manage poderoso y detallado sobre la autorización y el acceso. La API RBAC declara cuatro tipos de nivel outstanding:

  • Papel solo se puede usar para otorgar acceso a recursos dentro de un solo espacio de nombres
  • ClusterRole agrega recursos con ámbito de clúster, puntos finales sin recursos y recursos con espacios de nombres al tipo de rol
  • Encuadernación de roles otorga permisos definidos en un rol a un usuario o conjunto de usuarios y
  • ClusterRoleBinding es lo mismo que RoleBinding, pero en un clúster.

Es imperativo que todos los administradores de K8 comprendan la autorización RBAC. Para obtener más información, asegúrese de leer el documento oficial. Documentación RBAC.

La lista de mejores prácticas de Portshift también incluye el método de autorización ABAC, pero advierte que sí incluye algunas restricciones operativas.

2. Políticas de seguridad de pod

La siguiente mejor práctica es la seguridad de pod. Un pod es un objeto que contiene un conjunto de uno o más contenedores. Según las mejores prácticas de Portshift, «es esencial controlar sus configuraciones de implementación. Kubernetes Políticas de seguridad de pod son recursos de nivel de clúster que permiten a los usuarios desplegar sus pods de forma segura controlando sus privilegios, acceso a volúmenes y opciones de seguridad de Linux clásicas como los perfiles seccomp y SELinux «.

Nota: Una política de seguridad de pod controla aspectos sensibles de la especificación de su pod. El objeto PodSecurityPolicy outline un conjunto de condiciones que un pod debe cumplir para ser aceptado en el sistema Si el pod no puede alcanzar ese estado, no será aceptado. Las políticas de seguridad de pod permiten a un administrador controlar cosas como:

  • Ejecución de contenedores privilegiados
  • Uso de espacios de nombres de host
  • Uso de tipo de volumen
  • Uso del sistema de archivos del host
  • Requerir el uso del sistema de archivos raíz de solo lectura
  • ID de contenedor de usuario y grupo
  • Restrinja la escalada a privilegios de root

Estos son aspectos bastante sensibles para sus pods, y debe prestar mucha atención no solo a cómo establece sus Políticas de seguridad de Pod, sino también a quién tiene acceso a ellas.

3. Asegurar el entorno de producción.

La seguridad de su implementación de Kubernetes es tan sólida como el entorno de producción desde el cual se implementa Esto debería ser evidente, pero se pasa por alto. Portshift dice esto sobre el tema:

«A medida que las empresas trasladan más implementaciones a la producción, esa migración aumenta el volumen de cargas de trabajo vulnerables en tiempo de ejecución. Este problema se puede superar aplicando las soluciones descritas anteriormente y asegurando que su organización mantenga una cultura saludable de DevOps / DevSecOps».

Su entorno de producción debe ser seguro. Desde sus redes hasta su entorno de desarrollo, incluidos los escritorios de los desarrolladores, los servidores y, como señaló Portshift, su cultura DevOps. Si sus desarrolladores no están trabajando en un entorno seguro, aumentan las posibilidades de que sus implementaciones de Kubernetes puedan verse comprometidas.

4. Asegurando las tuberías de CI / CD

La Integración continua / Entrega continua (CI / CD) le permite realizar compilaciones previas a la implementación, pruebas e implementación de cargas de trabajo También permite la automatización de muchas tareas de implementación. Para que esto funcione, utilizará una serie de herramientas de terceros, como Timón y Flagger.

Para que sus implementaciones de Kubernetes disfruten incluso de un mínimo de seguridad, debe bloquear todo dentro de sus canalizaciones de CI / CD. Absolutamente debe incorporar prácticas de seguridad estrictas en esta tubería y en cada pieza de software o servicio que lo toque de lo contrario, según Portshift, «los atacantes pueden obtener acceso cuando se implementan estas imágenes y explotar estas vulnerabilidades en entornos de producción de K8. La inspección del código de imágenes y las configuraciones de implementación en la etapa de CI / CD puede lograr este propósito».

Esta parte certain de Kubernetes es donde se puede romper una gran cantidad de seguridad. Si no está seguro de cómo una herramienta en distinct accede a su canal de CI / CD y cómo maneja cosas como la autorización, aprenda todo lo que pueda sobre ella. Un solo punto de falla en su canalización de CI / CD podría ser catastrófico para la seguridad de sus implementaciones de Kubernetes en su conjunto.

5. Agregar malla de servicio a la capa de seguridad de crimson

La seguridad de la crimson es very important para sus implementaciones de Kubernetes y no debe pasarse por alto. Una malla de servicios aumenta la seguridad de la purple al agregar una capa de infraestructura dedicada para facilitar las comunicaciones de servicio a servicio entre microservicios y equilibra el tráfico entre servicios en función de políticas específicas.

A este problema, Portshift dice:

«(La malla de servicios) también ofrece una serie de beneficios de seguridad, confiabilidad y observabilidad que pueden ayudar a administrar el tráfico del clúster y aumentar la estabilidad de la purple que se ve reforzada por un modelo de seguridad de &#39confianza cero&#39».

Istio Actualmente es su mejor apuesta para el servicio de malla. Istio lo ayuda a controlar de manera inteligente el flujo de tráfico y las llamadas API entre servicios, asegurar automáticamente sus servicios a través de una autorización administrada, aplicar políticas y observar lo que sucede con el rastreo, monitoreo y registro automático.

Esta es otra capa que está agregando a una estructura de capas ya complicada, por lo que antes de emplear Istio, asegúrese de entenderlo.

Ver también



Enlace a la noticia first