進入云原生時代,Kubernetes在實現跨集群調度、容器擴展以及整合網絡、存儲、安全性、監控等服務方面更是駕輕就熟。Kubernetes憑借提供全面的容器基礎架構,已成為利用云能力、實現云價值的熱門之選。
也正因此,Kubernetes的安全性越來越受關注。
據一份《Kubernetes安全狀況報告》的調查顯示,在受調查的企業用戶中,有94%的企業在其容器環境中遇到過安全問題,其中69%的企業檢測到錯誤配置,27%的企業在運行時遇到安全事件,還有24%的企業發現了嚴重的安全漏洞。
云原生安全新局
2021年,Palo Alto Networks(派拓網絡)的安全威脅研究團隊Unit 42也在谷歌GKE里發現了安全漏洞,以及利用這個漏洞可能產生的安全攻擊。這樣的漏洞可以導致在GKE里面可以被提權,提權之后就能接管相應的谷歌集群,進而可能加載惡意代碼、竊取數據等,很多攻擊也會隨之而來。
數字化轉型、上云已成為企業發展必經之路,因而催生了容器化的大量部署,這會導致云基礎架構組件的可見性會變得越來越困難。容器化應用程序的分布式性質會讓我們難以快速發現哪些容器存在漏洞或錯誤配置,安全問題愈顯重要。
云原生環境在遵守安全最佳實踐方面遭遇到了挑戰,企業必須要調整策略以確保 Kubernetes環境符合最初為傳統應用程序體系架構編寫的規范。同時,還要避免容器化應用程序的分布式、動態特性的合規性問題,并在運行時保護工作負載免受威脅。當然,還要有足夠的策略保護Kubernetes API Server等易受攻擊的組件。
Palo Alto Networks(派拓網絡)中國區大客戶技術總監張晨表示:派拓網絡很關注這種場景下的安全保障,并推出了Prisma Cloud,解決客戶容器化管理平臺的安全性問題。
Palo Alto Networks(派拓網絡)中國區大客戶技術總監張晨
Prisma Cloud支持所有主流商業云服務平臺,跨越了所有技術堆棧,全方位支持容器化使用到的技術堆棧和應用組件。通過Prisma Cloud,我們可以把檢查機制無縫地集成到容器化平臺從構建到部署再到運行的全生命周期中,盡量把安全檢查機制進行前置,避免在代碼已經完成開發、部署、運行之后,再發現問題和進行修復。
當然,很多客戶在運用容器化過程中可能處于不同的階段,或許只是關注其中某幾個階段的安全問題,Prisma Cloud也可以針對客戶需求提供各個階段所需的安全解決方案。
DevOps的新生
Kubernetes讓DevOps的持續集成、持續交付、持續部署流程更加容易實現,同時還提供了豐富的控件集,用于有效保護容器集群及其應用程序的安全。
Palo Alto Networks(派拓網絡)Prisma Cloud方案架構師李國慶表示:在敏捷開發和云原生組件廣泛應用的時代,DevOps管理員應當將安全作為交付質量和運維水平的一個重要組成部分。只有從組織層面來進行安全培訓,從流程層面來進行安全規范,從工具層面來進行無縫嵌入和平滑輸出,開發運維和安全團隊才可以緊密高效融洽地配合。
考慮到軟件開發的周期性和云原生時代所采用的技術堆棧的復雜度,李國慶建議企業通過技術領先并且統一的管理平臺來滿足所有的云安全需求。無論是在橫向的軟件生命周期還是縱向的技術架構堆棧上, Prisma Cloud都提供了統一和強大的安全防護能力,能夠為企業云原生的安全可視化、自動化、智能化提供強大的平臺支撐,它天然就可以和企業開發人員和DevOps的工作流進行無縫集成。
DevOps管理員不妨從平臺驗證開始,在探索DevOps的方向的時候可以試一試Prisma Cloud,來了解快速減輕安全工作的負載,并輕松獲得云原生全局安全的可能性。
李國慶最后談道:Prisma Cloud現在可以說是業界支持了所有主流商業云平臺的最完整的云安全解決方案,能夠幫助客戶進行靈活選擇,從容應對云原生時代的安全考驗。
