Kubernetes安全如何保障？Palo Alto Networks提出全面防护新见解

{"value":"随着数字化转型的深入推进，新技术新应用新业态不断涌现。企业业务的迅速发展给应用的快速迭代与敏捷开发提出了新的挑战。这其中，容器与Kubernetes等云原生技术的出现为这些挑战提供了很好的技术支撑。\n\nKubernetes是Google开源的容器编排引擎，支持自动化部署、大规模扩展和应用容器化管理。此前Gartner曾预计，到2022年，将有75％的组织在生产中运行容器化应用程序。\n\n与此同时，针对这些热门技术的网络攻击和勒索事件频率越来越高，Kubernetes的安全问题越来越成为影响该技术发展乃至企业业务正常运行的关键因素。\n\n## Kubernetes安全问题已影响到相关标准制定\n\n为何如今Kubernetes安全问题愈演愈烈？Palo Alto Networks（派拓网络）中国区大客户技术总监张晨表示，*“==Kubernetes本身是一种为容器管理应运而生的开源工具，其设计之初并没有太多从安全角度出发去考虑，所以很多安全控制的机制相对来讲比较缺失。==”*\n\n去年，Palo Alto Networks的威胁研究与咨询团队Unit 42曾在Google Kubernetes Engine (GKE)中发现多个漏洞和攻击技术。这些威胁不仅影响了Google Cloud用于管理Kubernetes 集群的一款产品GKE Autopilot，甚至影响到了GKE标准。\n\nPalo Alto Networks认为，在混合云环境下，有以下4个安全方面是需要着重关注：**一是云上的可见性和合规性；二是及早发现容器内部安全问题；三是多云环境下深度的安全威胁发现能力；四是开发运维团队和安全运维团队共同协作**。\n\n此外，开源带来的安全风险也成为Kubernetes安全的重要因素。Kubernetes作为一种容器开源工具，基于Kubernetes开发的众多商业化衍生开发以及云服务商容器化环境下的管理工具不胜枚举，并且由此与带来的供应链安全问题相叠加，这就导致开源漏洞或不安全代码带来的安全风险将被无限放大。\n\n## Kubernetes需要全面性防护\n\nKubernetes环境涉及从开发、部署到运维多个环节，以及开发团队、生产环境、运维团队等多个场景和团队。即使是Kubernetes中最细微的问题，也可能成为攻击的切入点。\n\nPalo Alto Networks认为，只有全面的云原生安全平台，才能让防御者有能力保护集群免受类似威胁。\n\n全面保障云原生安全要求从各个环节、各个场景入手，实施全方位的安全防护手段。因此，Palo Alto Networks提出以下措施：\n\n**一是在云代码安全方面**，保护应用构件的安全、分析代码、修复问题。\n\n**二是在云安全态势管理方面**，需要监控态势、检测和应对威胁、保证合规性。\n\n**三是在云工作负载保护方面**，在应用的全生命周期保障主机、容器和[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)架构的安全。\n\n**四是在云网络安全方面**，监控并保护云网络，实施微分段。\n\n**五是在云身份安全方面**，在工作负载和云中实施许可权限并保护身份安全。\n\nPrisma Cloud是业界唯一的全面云原生安全平台，该平台利用云服务提供商API提供对公有云环境的可视性和控制，同时利用单个统一的代理框架将安全性扩展到主机、容器和[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)功能，实现了全面的云原生安全。Prisma Cloud提供实时的深度云资源报告、保持云端的合规性、保护云原生资源及赋能敏捷开发。\n\n云原生安全防护的全面性也是像Forrester这样的权威咨询机构所看重的。在最新一期Forrester Cloud Workload Security 评估中，Prisma Cloud荣获第一名。\n\n不仅是咨询机构，客户在选择云原生安全产品时，也会考虑产品的全面性防护能力。\n\nPalo Alto Networks（派拓网络）Prisma Cloud方案架构师李国庆表示，*==GKE的事例表明，即使像谷歌这样的“大厂”，在对Kubernetes进行二次包装时也可能引入更多安全风险，比如通过特权提升导致整个集群被攻破。这说明Kubernetes的安全性越来越高级，针对Kubernetes的攻击正从简单的技术攻击演变成高级的Kubernetes定制攻击。==*\n\n“针对这些攻击，如果仅仅是保护集群的外围边缘肯定是不够的。我们鼓励企业能够采用检测和预防后续攻击的安全解决方案，来制定相关的安全审计策略。”李国庆表示。\n\n李国庆建议，就Kubernetes和类似的自动化工具而言，无论它所在的公有云配置本身，还是控制的主机节点，或是软件安全的配置，亦或是访问许可、漏洞以及第三方软件提供商，对其二次包装的各个方面，都要进行全局统一策略下的安全建设、检测和响应。\n\n就安全平台的选择而言，Prisma Cloud作为一款跨主机、虚拟机、容器和服务器的解决方案，可以满足全部的安全需要。对于Prisma Cloud的客户，就Kubernetes本身可能存在的一些高级风险，建议尽快启用类似的准入控制和事件审计功能。\n\n张晨表示，客户选择Palo Alto Networks云原生安全解决方案的主要原因包括产品能力的全面性以及对云原生环境全生命周期和相关技术堆栈的覆盖等。\n\n目前Prisma Cloud保护的云应用工作负载已超过200万，覆盖1700多家客户，为全球企业提供全面的云环境保护。\n\n未来，针对Kubernetes的攻击还将继续增长，而用户能够做的就是做好全面的安全防护。遵循Palo Alto Networks的云原生安全理念，将对用户保护Kubernetes起到事半功倍的作用。\n\n\n\n[申请免费试用：Prisma Cloud](https://www.paloaltonetworks.com/prisma/request-a-prisma-cloud-trial)\n使用Prisma Cloud 混合云和多云环境保护基础架构、应用程序和数据。\nhttps://www.paloaltonetworks.com/prisma/request-a-prisma-cloud-trial","render":"<p>随着数字化转型的深入推进，新技术新应用新业态不断涌现。企业业务的迅速发展给应用的快速迭代与敏捷开发提出了新的挑战。这其中，容器与Kubernetes等云原生技术的出现为这些挑战提供了很好的技术支撑。</p>\n<p>Kubernetes是Google开源的容器编排引擎，支持自动化部署、大规模扩展和应用容器化管理。此前Gartner曾预计，到2022年，将有75％的组织在生产中运行容器化应用程序。</p>\n<p>与此同时，针对这些热门技术的网络攻击和勒索事件频率越来越高，Kubernetes的安全问题越来越成为影响该技术发展乃至企业业务正常运行的关键因素。</p>\n<h2><a id=\\"Kubernetes_6\\"></a>Kubernetes安全问题已影响到相关标准制定</h2>\\n<p>为何如今Kubernetes安全问题愈演愈烈？Palo Alto Networks（派拓网络）中国区大客户技术总监张晨表示，<em>“<mark>Kubernetes本身是一种为容器管理应运而生的开源工具，其设计之初并没有太多从安全角度出发去考虑，所以很多安全控制的机制相对来讲比较缺失。</mark>”</em></p>\n<p>去年，Palo Alto Networks的威胁研究与咨询团队Unit 42曾在Google Kubernetes Engine (GKE)中发现多个漏洞和攻击技术。这些威胁不仅影响了Google Cloud用于管理Kubernetes 集群的一款产品GKE Autopilot，甚至影响到了GKE标准。</p>\n<p>Palo Alto Networks认为，在混合云环境下，有以下4个安全方面是需要着重关注：<strong>一是云上的可见性和合规性；二是及早发现容器内部安全问题；三是多云环境下深度的安全威胁发现能力；四是开发运维团队和安全运维团队共同协作</strong>。</p>\\n<p>此外，开源带来的安全风险也成为Kubernetes安全的重要因素。Kubernetes作为一种容器开源工具，基于Kubernetes开发的众多商业化衍生开发以及云服务商容器化环境下的管理工具不胜枚举，并且由此与带来的供应链安全问题相叠加，这就导致开源漏洞或不安全代码带来的安全风险将被无限放大。</p>\n<h2><a id=\\"Kubernetes_16\\"></a>Kubernetes需要全面性防护</h2>\\n<p>Kubernetes环境涉及从开发、部署到运维多个环节，以及开发团队、生产环境、运维团队等多个场景和团队。即使是Kubernetes中最细微的问题，也可能成为攻击的切入点。</p>\n<p>Palo Alto Networks认为，只有全面的云原生安全平台，才能让防御者有能力保护集群免受类似威胁。</p>\n<p>全面保障云原生安全要求从各个环节、各个场景入手，实施全方位的安全防护手段。因此，Palo Alto Networks提出以下措施：</p>\n<p><strong>一是在云代码安全方面</strong>，保护应用构件的安全、分析代码、修复问题。</p>\\n<p><strong>二是在云安全态势管理方面</strong>，需要监控态势、检测和应对威胁、保证合规性。</p>\\n<p><strong>三是在云工作负载保护方面</strong>，在应用的全生命周期保障主机、容器和[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)架构的安全。</p>\\n<p><strong>四是在云网络安全方面</strong>，监控并保护云网络，实施微分段。</p>\\n<p><strong>五是在云身份安全方面</strong>，在工作负载和云中实施许可权限并保护身份安全。</p>\\n<p>Prisma Cloud是业界唯一的全面云原生安全平台，该平台利用云服务提供商API提供对公有云环境的可视性和控制，同时利用单个统一的代理框架将安全性扩展到主机、容器和无服务器功能，实现了全面的云原生安全。Prisma Cloud提供实时的深度云资源报告、保持云端的合规性、保护云原生资源及赋能敏捷开发。</p>\n<p>云原生安全防护的全面性也是像Forrester这样的权威咨询机构所看重的。在最新一期Forrester Cloud Workload Security 评估中，Prisma Cloud荣获第一名。</p>\n<p>不仅是咨询机构，客户在选择云原生安全产品时，也会考虑产品的全面性防护能力。</p>\n<p>Palo Alto Networks（派拓网络）Prisma Cloud方案架构师李国庆表示，<em><mark>GKE的事例表明，即使像谷歌这样的“大厂”，在对Kubernetes进行二次包装时也可能引入更多安全风险，比如通过特权提升导致整个集群被攻破。这说明Kubernetes的安全性越来越高级，针对Kubernetes的攻击正从简单的技术攻击演变成高级的Kubernetes定制攻击。</mark></em></p>\n<p>“针对这些攻击，如果仅仅是保护集群的外围边缘肯定是不够的。我们鼓励企业能够采用检测和预防后续攻击的安全解决方案，来制定相关的安全审计策略。”李国庆表示。</p>\n<p>李国庆建议，就Kubernetes和类似的自动化工具而言，无论它所在的公有云配置本身，还是控制的主机节点，或是软件安全的配置，亦或是访问许可、漏洞以及第三方软件提供商，对其二次包装的各个方面，都要进行全局统一策略下的安全建设、检测和响应。</p>\n<p>就安全平台的选择而言，Prisma Cloud作为一款跨主机、虚拟机、容器和服务器的解决方案，可以满足全部的安全需要。对于Prisma Cloud的客户，就Kubernetes本身可能存在的一些高级风险，建议尽快启用类似的准入控制和事件审计功能。</p>\n<p>张晨表示，客户选择Palo Alto Networks云原生安全解决方案的主要原因包括产品能力的全面性以及对云原生环境全生命周期和相关技术堆栈的覆盖等。</p>\n<p>目前Prisma Cloud保护的云应用工作负载已超过200万，覆盖1700多家客户，为全球企业提供全面的云环境保护。</p>\n<p>未来，针对Kubernetes的攻击还将继续增长，而用户能够做的就是做好全面的安全防护。遵循Palo Alto Networks的云原生安全理念，将对用户保护Kubernetes起到事半功倍的作用。</p>\n<p><a href=\\"https://www.paloaltonetworks.com/prisma/request-a-prisma-cloud-trial\\" target=\\"_blank\\">申请免费试用：Prisma Cloud</a><br />\\n使用Prisma Cloud 混合云和多云环境保护基础架构、应用程序和数据。<br />\\nhttps://www.paloaltonetworks.com/prisma/request-a-prisma-cloud-trial</p>\n"}