Soru: Kubernetes kümem için ihtiyacım olan bazı güvenlik kontrolleri nelerdir?
Tigera Başkanı ve CEO’su Ratan Tipirmeni: Kubernetes kümeleriniz için güvenlik kontrolleri, ihlalleri önlemenize, tespit etmenize ve azaltmanıza yardımcı olmalıdır. Kubernetes kümeleri, yeni yapılar kullanıma sunuldukça otomatik olarak yenilenir; bu nedenle, uygulama yapıları oluşturulur oluşturulmaz güvenlik denetimlerinin sürekli entegrasyon/sürekli dağıtım (CI/CD) ardışık düzeninize yerleştirilmesi önemlidir.
Kubernetes kümelerinizin güvenliğini sağlamak için aşağıdaki derleme ve dağıtma süresi denetimlerine sahip olmalısınız:
- Hem genel hem de özel kayıtların sürekli olarak taranması. Bu kayıtlar, yazılım tedarik zincirinizi oluşturur.
- Görüntülerin dağıtımını denetlemek için güvenlik ilkelerini etkin bir şekilde uygulayan bir kabul denetleyicisi.
Yazılım tedarik zincirinizin güvenliğini sağladıktan sonraki adım, Kubernetes altyapınızın ve kontrol düzleminizin sağlamlaştırılmış bir yapılandırmayla dağıtıldığından emin olmaktır.
Aşağıdaki dağıtım zamanı kontrollerini eklemelisiniz:
- Yapılandırma güvenliğinizi (görüntüler, kapsayıcılar, Docker çalışma zamanı, çalışan düğümleri ve Kubernetes API sunucusu) CIS gibi sektör karşılaştırmalarına göre değerlendirin
- Kubernetes kümenizin yapılandırmasını değerlendirmek için Kubernetes Güvenlik Duruş Yönetimi (KSPM)
- Dağıtım işlem hattınızın bir parçası olarak uyumluluk denetimlerinizi güvenlik ilkeleri olarak katın
Kubernetes kümelerinizi çalışma zamanında korumak için saldırı yüzeyini azaltmak için sıfır güven güvenlik denetimleri uygulamalısınız. Bu, uygulama ekiplerinize güvenlik açıklarını azaltmak için daha fazla zaman verir.
Kubernetes kümelerinde varsayılan olarak tüm iş yükleri birbirleriyle iletişim kurabilir ve ayrıca kümenin dışında herhangi bir yerde iletişim kurabilirler. Sıfır güven güvenlik mimarisi, tüm meşru trafiğe açıkça izin verir ve diğer her şeyi reddeder.
Kubernetes kümeleri için sıfır güvenli güvenlik, hangi hizmetlerin harici olarak iletişim kurabileceğini (ve hangi dış kaynakların kümedeki hizmetlere erişebileceğini), mikro segmentasyon ile olası saldırıların patlama yarıçapını sınırlandırmayı ve güvenlik duvarı korumasını etkinleştirmeyi sağlamak için sıfır güven iş yükü erişim kontrollerini içermelidir. yetkisiz erişimi önlemek için ayrıntılı iş yükü seviyeleri.
Son olarak, hem ağ hem de kapsayıcı tabanlı tehditleri algılayabilen çalışma zamanı tehdit savunma yeteneklerine ihtiyacınız var. Bilinen tehditler için, bilinen güvenlik açıklarının ve tehditlerin tehdit akışlarını almalısınız. Ayrıca, güvenlik ihlali veya saldırı göstergelerini belirlemek için iş yükü davranışınızdaki anormallikleri belirlemek için makine öğrenimini kullanmalısınız.