手机版
你好,游客 登录 注册
背景:
阅读新闻

CNCF为Kubernetes发布了9项安全最佳实践,以保护客户的基础架构

[日期:2019-01-16] 来源:Linux公社  作者:醉落红尘 [字体: ]

根据CNCF在2018年8月进行的两年一次的调查,83%的受访者更喜欢Kubernetes的容器管理工具。58%的受访者在生产中使用Kubernetes,而42%的受访者正在评估它以备将来使用,40%的企业公司(5000+)正在使用Kubernetes。这些统计数据让我们清楚地了解了Kubernetes作为容器协调器在开发人员中的流行程度。

然而,最近在Kubernetes中发现的安全漏洞(现在已经修复)确实引起了开发人员的关注,该漏洞使攻击者能够攻击集群并执行非法活动。

像Kubernetes这样由多层组成的容器环境需要在所有方面进行保护。考虑到这一点,cncf发布了“每个人都必须遵守的9个Kubernetes安全最佳实践”

1 .升级到最新版本

Kubernetes每季度更新一次,提供各种bug和安全补丁。建议客户经常升级到最新版本,并提供更新的安全补丁,以保护他们的系统。

2基于角色的访问控制(RBAC)

通过启用RBAC,用户可以控制谁可以访问Kubernetes API以及他们拥有哪些权限。该博客建议用户不要给任何人集群管理权限,只在需要时根据具体情况授予访问权限。

#3安全边界的名称空间(Namespaces)

名称空间在组件之间产生重要的隔离级别。此外,cncf指出,当工作负载部署在单独的名称空间中时,更容易使用各种安全控制和策略

4 .保持敏感工作负载独立

敏感的工作负载应该在一组专用的机器上运行。这意味着,如果连接到敏感工作负载的不太安全的应用程序受到损害,则后者不会受到影响。

#5保护云元数据访问

存储机密信息(如凭证)的敏感元数据可能被窃取和误用。该博客建议用户使用谷歌Kubernetes引擎的元数据隐藏特性来避免这种不幸。

#6集群网络策略

开发人员将能够通过网络策略控制其容器化应用程序的网络访问。

#7实现集群式Pod安全策略

这将定义如何允许工作负载在集群中运行。

#8提高节点安全性

用户应该通过对照CIS基准测试检查节点的配置,确保主机以正确的方式配置,并且主机是安全的。确保您的网络阻塞对可能被恶意参与者利用的端口的访问,并将对Kubernetes节点的管理访问最小化。

# 9审计日志记录

应该启用和监视审计日志,以防止异常API调用和授权失败。这表明恶意黑客正试图进入您的系统。

该博客建议用户进一步寻找工具,以帮助他们对容器进行持续监控和保护。您可以访问Cloud Native computing foundation的官方博客,阅读关于这些最佳实践的更多信息。

Kubeadm创建高可用Kubernetes v1.12.0集群  https://www.linuxidc.com/Linux/2018-10/154548.htm
Kubernetes监控组件metrics-server部署  https://www.linuxidc.com/Linux/2018-09/153842.htm
Kubernetes 1.9集群使用traefik发布服务  https://www.linuxidc.com/Linux/2018-03/151337.htm
在Kubernetes集群中运行Nginx  https://www.linuxidc.com/Linux/2018-03/151281.htm

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156400.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款