如何在云原生格局中理解Kubernetes合规性和安全构架

发布时间：2022-06-08 15:21 所属栏目：124 来源：互联网

导读：Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的，调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是，尽管Kubernetes让容器的使用变得更容易，但在安全性方面也增加了复杂

Kubernetes(K8s)之所以成为世界领先的容器编排平台是有原因的，调查表明如今有74%的IT公司将其用于生产中的容器化工作负载。它通常是大规模处理容器配置、部署和管理的最简单方法。但是，尽管Kubernetes让容器的使用变得更容易，但在安全性方面也增加了复杂性。

  以下了解五个主要安全框架以及它们如何帮助企业更安全地使用Kubernetes。

1. 互联网安全中心(CIS)Kubernetes基准
  互联网安全中心(CIS)是一家历史悠久的全球安全组织，已将其Kubernetes基准创建为一个“客观、共识驱动的安全指南”，为集群组件配置提供行业标准建议，并强化Kubernetes安全态势。等级1建议实施起来相对简单，同时提供主要好处，通常不会影响业务功能。等级2或“深度防御”建议适用于需要更全面战略的关键任务环境。

2. Kubernetes的NIST应用容器安全
  美国政府的国家标准与技术研究院(NIST)提供了专门的应用程序容器安全指南，作为其自愿框架的一部分。该指南重点介绍了Kubernetes环境的安全挑战，其中包括映像、注册表、编排器、容器和主机操作系统，并基于最佳实践提供了对策。

  例如，NIST建议利用Kubernetes(或其他协调器)提供敏感信息的原生管理能力，在运行时安全地将此数据供应到Web应用程序容器中，同时确保只有Web应用程序容器才能访问这些敏感信息，并且该数据不会持久保存到磁盘。

优点：值得信赖的标准化风险管理方法。
缺点：要求可能不明确，需要专业知识才能正确实施。
3. NSA和CISA的Kubernetes强化指南
  美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近发布了他们的Kubernetes强化指南，其中描述并详细说明了对Kubernetes集群的特定威胁，并在五个关键领域提供了强化指南：

KubernetesPod安全
网络分离和加固
认证和授权
日志审计
升级和应用安全实践
该报告强调了供应链风险中的危害，来自恶意行为者和基础设施级别的内部威胁，识别常见漏洞，并推荐最佳实践以避免错误配置。

优点：非常详细、实用、实际、特定于Kubernetes的建议。
缺点：不包括对容器生命周期安全管理的建议。
4. Kubernetes的PCIDSS合规性
支付卡行业数据安全标准(PCIDSS)是存储、处理或传输支付卡数据的每个企业所需的一组强制性技术和操作要求。其核心原则是对持卡人数据的存储和处理环境进行细分。在Kubernetes中，这是使用逻辑、网络和服务等级分段来完成的。

虽然核心PCIDSS标准中没有直接涉及容器和微服务，但云计算指南补充提供了容器编排指南。

（编辑：ASP站长网）