进入云原生时代,Kubernetes在实现跨集群调度、容器扩展以及整合网络、存储、安全性、监控等服务方面更是驾轻就熟。Kubernetes凭借提供全面的容器基础架构,已成为利用云能力、实现云价值的热门之选。
也正因此,Kubernetes的安全性越来越受关注。
据一份《Kubernetes安全状况报告》的调查显示,在受调查的企业用户中,有94%的企业在其容器环境中遇到过安全问题,其中69%的企业检测到错误配置,27%的企业在运行时遇到安全事件,还有24%的企业发现了严重的安全漏洞。
云原生安全新局
2021年,Palo Alto Networks(派拓网络)的安全威胁研究团队Unit 42也在谷歌GKE里发现了安全漏洞,以及利用这个漏洞可能产生的安全攻击。这样的漏洞可以导致在GKE里面可以被提权,提权之后就能接管相应的谷歌集群,进而可能加载恶意代码、窃取数据等,很多攻击也会随之而来。
数字化转型、上云已成为企业发展必经之路,因而催生了容器化的大量部署,这会导致云基础架构组件的可见性会变得越来越困难。容器化应用程序的分布式性质会让我们难以快速发现哪些容器存在漏洞或错误配置,安全问题愈显重要。
云原生环境在遵守安全最佳实践方面遭遇到了挑战,企业必须要调整策略以确保 Kubernetes环境符合最初为传统应用程序体系架构编写的规范。同时,还要避免容器化应用程序的分布式、动态特性的合规性问题,并在运行时保护工作负载免受威胁。当然,还要有足够的策略保护Kubernetes API Server等易受攻击的组件。
Palo Alto Networks(派拓网络)中国区大客户技术总监张晨表示:派拓网络很关注这种场景下的安全保障,并推出了Prisma Cloud,解决客户容器化管理平台的安全性问题。
Palo Alto Networks(派拓网络)中国区大客户技术总监张晨
Prisma Cloud支持所有主流商业云服务平台,跨越了所有技术堆栈,全方位支持容器化使用到的技术堆栈和应用组件。通过Prisma Cloud,我们可以把检查机制无缝地集成到容器化平台从构建到部署再到运行的全生命周期中,尽量把安全检查机制进行前置,避免在代码已经完成开发、部署、运行之后,再发现问题和进行修复。
当然,很多客户在运用容器化过程中可能处于不同的阶段,或许只是关注其中某几个阶段的安全问题,Prisma Cloud也可以针对客户需求提供各个阶段所需的安全解决方案。
DevOps的新生
Kubernetes让DevOps的持续集成、持续交付、持续部署流程更加容易实现,同时还提供了丰富的控件集,用于有效保护容器集群及其应用程序的安全。
Palo Alto Networks(派拓网络)Prisma Cloud方案架构师李国庆表示:在敏捷开发和云原生组件广泛应用的时代,DevOps管理员应当将安全作为交付质量和运维水平的一个重要组成部分。只有从组织层面来进行安全培训,从流程层面来进行安全规范,从工具层面来进行无缝嵌入和平滑输出,开发运维和安全团队才可以紧密高效融洽地配合。
考虑到软件开发的周期性和云原生时代所采用的技术堆栈的复杂度,李国庆建议企业通过技术领先并且统一的管理平台来满足所有的云安全需求。无论是在横向的软件生命周期还是纵向的技术架构堆栈上, Prisma Cloud都提供了统一和强大的安全防护能力,能够为企业云原生的安全可视化、自动化、智能化提供强大的平台支撑,它天然就可以和企业开发人员和DevOps的工作流进行无缝集成。
DevOps管理员不妨从平台验证开始,在探索DevOps的方向的时候可以试一试Prisma Cloud,来了解快速减轻安全工作的负载,并轻松获得云原生全局安全的可能性。
李国庆最后谈道:Prisma Cloud现在可以说是业界支持了所有主流商业云平台的最完整的云安全解决方案,能够帮助客户进行灵活选择,从容应对云原生时代的安全考验。
