11、Kubernetes安全：UEBA与网络策略深度解析

Kubernetes安全：UEBA与网络策略深度解析

1. 用户与实体行为分析（UEBA）

1.1 UEBA概述

用户与实体行为分析（UEBA）是利用基于机器学习（ML）和人工智能（AI）的技术，对用户或实体（如Pod、服务或部署）的行为进行长期分析，并检测其异常行为的领域。微软Azure将UEBA作为其云平台的一部分提供。需要注意的是，实体的异常行为并不总是可疑行为，需要将其映射到MITRE攻击框架或其他受损指标，以确认是否为安全问题。

1.2 Kubernetes中UEBA的实现示例

以Kubernetes中的服务为例，图6 - 5展示了服务在Kubernetes集群中的各种交互。服务在正常运行时，会与Kubernetes API服务器、Kubernetes数据存储进行交互，还会与入口资源通信以与集群外部实体交互，并使用集群网络与集群内其他实体交互，同时会使用集群中的DNS服务。

为了构建服务的行为模型，需要考虑以下方面（在机器学习中称为特征）：
- 服务组成（如Pod数量、基于角色的访问控制（RBAC）、策略等端点数量）
- 服务的文件系统活动、进程信息和系统调用活动
- 与服务关联的服务账户
- 服务生命周期操作（如创建、删除、扩展/缩减）
- 服务的入站和出站流量（网络、应用程序）
- 服务中Pod的DNS活动

UEBA引擎会从各种数据源（网络流量日志、应用程序流量日志、Kubernetes审计日志、DNS活动日志、进程信息、文件系统、系统调用活动日志）收集日志，并将其存储在数据存储中。分析引擎会对这些日志进行聚合和关联，以生成跨各种特征的服务