Kubernetes(K8s)已成为云计算领域高频应用的抢手工具。作为一种开源的容器编排系统,Kubernetes可用于在云中扩展容器化应用程序。它可以管理容器生命周期,根据应用程序需求创建和销毁容器,并提供了许多其他功能。Kubernetes的兴起标志着应用程序开发和部署方式的转变。
广为应用的Kubernetes集群为业务带来了前所未有的速度和灵活性,但大规模Kubernetes集群也成为了勒索软件、加密挖矿和僵尸网络等威胁的主要攻击目标。作为云时代一种重要“基础设施”,Kubernetes本身的安全性开始引起了越来越多用户关注。本文,我们将围绕安全性,介绍可以增强Kubernetes集群安全性的四大必备能力和三个基本原则。
四大关键能力,深度保护Kubernetes集群
有调查发现,过去一年中,93%受访者(包括300余名DevOps、工程设计和安全专业人员)的Kubernetes环境中至少出现过一次安全事件,攻击者很有可能会利用此类事件安装勒索软件和其他恶意软件。
因此,我们有必要强调对Kubernetes集群进行分段的必要性,在于大量针对Kubernetes集群的攻击开始采用规避和混淆技术以逃避检测,包括打包攻击载荷、使用Rootkit等方式运行恶意软件。若想有效监测、阻截勒索软件攻击中的横向移动,就需要在保障业务连续性的情况下,以微分段策略限制威胁的扩散与流动。
四重能力覆盖全局
保障Kubernetes环境的安全性,创建体系化、精细化的安全策略,才能全面深度地洞见威胁、及时阻截。Akamai Guardicore Segmentation基于软件的微分段解决方案,有助于企业准确监测Kubernetes集群,深入了解基础架构所有层的实时状况,确认流量的预期路径。
用于Kubernetes集群分段的关键能力
- 映射监测:Akamai Guardicore Segmentation配置有映射、多层标签功能。依赖项关系的映射图谱,可用于监测数据中心内部和多个数据中心之间的通信状况;通过使用多层标签,映射更得以准确地反映应用程序在集群中的部署方式,全方位提升客户对Kubernetes层次结构的可见性。
- 强制实施:Akamai Guardicore Segmentation具有非侵入性与灵活性,可使用原生Kubernetes CNI(Container Network Interface, 容器网络接口)强制实施网络分段;同时配置保护Kubernetes业务关键型应用程序而设计的专用模板,帮助用户轻松选择域名空间、应用程序等准备隔离的对象。
- 高级监控:利用高级日志记录和监控系统,可针对Kubernetes网络调整专用网络日志,显示每个事件的目标服务、节点IP、源端口和目标端口以及进程,有利于用户更便捷地调查网络中的异常活动并将数据导出到第三方应用程序。
- 集群操作
最低0.47元/天 解锁文章
扫一扫
1027
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
