日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

?譯者 | 胥磊

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：空間域名、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、阿克塞哈薩克族自治網(wǎng)站維護、網(wǎng)站推廣。

審校 | 孫淑娟

近年來，安全模型也得到了越來越多的關(guān)注，特別是隨著2019年新型冠狀病毒的爆發(fā)，其更是迅速成為所有人關(guān)注的焦點。突如其來的居家使很多公司的工作模式從現(xiàn)場辦公向遠程或混合模式轉(zhuǎn)變。零信任安全就成為這些準(zhǔn)備向遠程或混合辦公模式轉(zhuǎn)變的公司關(guān)注對象，同樣其他機構(gòu)，平臺以及基礎(chǔ)設(shè)施也都需要關(guān)注這些安全原則，特別是對于部署了Kubernetes的組織，采用零信任架構(gòu)對于確保其所有環(huán)境的安全性是至關(guān)重要的。

Kubernetes安全挑戰(zhàn)

如今各個行業(yè)都承受著無處不在的壓力，他們需要IT公司能夠向其交付運行更快，效率更高，規(guī)模更大的軟件。為了尋求強大的可移植性和靈活性，許多IT公司都已經(jīng)轉(zhuǎn)向使用Kubernetes (K8S)來滿足這些市場需求。同時也要看到雖然K8S是IT公司高效，大規(guī)模交付軟件的優(yōu)秀解決方案，但其本身也存在安全挑戰(zhàn)和漏洞。僅僅因為 Kubernetes 是一個相對較新的系統(tǒng)，它就成為對網(wǎng)絡(luò)攻擊者來說頗具吸引力的獵物，再加上其操作模式的動態(tài)特性，如果不采取必要的安全措施，很容易給壞人留下滲透的空間。

Shadowserver 基金會的研究人員發(fā)現(xiàn)，僅今年一年就有38萬臺開放的 Kubernetes API 服務(wù)器暴露在互聯(lián)網(wǎng)上。雖然這些服務(wù)器目前還只是被識別為暴露并沒有受到攻擊，但這個驚人數(shù)字的背后隱藏著 API 服務(wù)器的脆弱性和潛在的危險性。而事實也是如此，Salt Security 的2022年 API 安全狀態(tài)顯示，34% 的受調(diào)查企業(yè)并沒有 API 安全策略，盡管其中95% 的企業(yè)在過去12個月中 API 安全受到威脅。

零信任：Kubernetes 的安全救星？

面對這種可怕的局面，行業(yè)需要有一種新的解決方案來加強Kubernetes的部署，由此引發(fā)的另外一個問題就是，如何在確保強大的安全態(tài)勢的同時，還能繼續(xù)發(fā)揮K8S的眾多優(yōu)勢。對許多人來說答案很明確--那就是零信任安全。

什么是零信任安全？

零信任安全模型是 Forrester 在2009年首次提出的，一經(jīng)提出，這個開創(chuàng)性的概念就徹底顛覆了網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)?，F(xiàn)有的傳統(tǒng)安全模型是“信任，但要驗證”，而零信任安全則改變了這種理念，取而代之的是“永遠不要信任，始終要驗證”，這就意味著所有用戶和設(shè)備必須不加區(qū)分地持續(xù)檢查和驗證。

過去傳統(tǒng)的安全模型都是為了確保邊緣的安全。一旦用戶通過驗證，他們就被授予進入網(wǎng)絡(luò)的權(quán)限，而只要他們進入了網(wǎng)絡(luò)所有操作通常都會受到信任！而零安全信任則意味著永遠不會有完全信任的時刻。恰恰相反其總是假設(shè)用戶和設(shè)備受到了威脅，必須通過不斷地進行授權(quán)、身份驗證和認(rèn)證，才能保持與網(wǎng)絡(luò)的連接或采取任何操作。通過這種方式，零信任安全可以幫助組織始終保持謹(jǐn)慎，永遠不放松警惕，從而防御壞人的滲透。

Kubernetes 的零信任架構(gòu)

零信任安全為Kubernetes的安全挑戰(zhàn)提供了真正的解決方案，而實現(xiàn)合規(guī)本身也帶來了新的挑戰(zhàn)。這里著重需要指出的是零信任安全只是一組目標(biāo)而不是一個精確的工具，因此有許多不同的方法可以實現(xiàn)零信任體系結(jié)構(gòu)。

那么，如何將零信任原則應(yīng)用于 Kubernetes呢？下面從如何保護 Kubernetes API 服務(wù)器開始，服務(wù)器是每個 Kubernetes 集群控制層面的核心。因為這個 API 服務(wù)器用于控制所有 Kubernetes 對象，所以確保安全的 API 訪問是保護受控 Kubernetes 訪問的安全基石，從而實現(xiàn)零信任 Kubernetes。

為了控制和保護 API 服務(wù)器，首先就要控制所有的輸入和傳輸出的流量，這些可以通過傳輸層安全協(xié)議(Transport Layer Security，TLS)來完成。一旦所有 API 服務(wù)器通信都得到保護，Kubernetes 就可以提供用來實現(xiàn)零信任安全的鉤子（Hooks）。這里主要有四種類型的鉤子：身份驗證，授權(quán)，準(zhǔn)入控制，審計和日志記錄。它們對成功實現(xiàn) Kubernetes 的零信任架構(gòu)至關(guān)重要。

身份驗證

為了堅持 Kubernetes 的零信任安全原則，第一步就是要確保所有用戶和服務(wù)帳戶都定期進行身份驗證，這意味著在執(zhí)行任何 API 調(diào)用之前需要進行身份驗證。為了實現(xiàn)這種身份驗證，可以使用如下幾種安全模型和插件，如客戶端證書、HTTP 基本身份驗證和令牌。另外零信任模型還建議使用多維度身份驗證 (MFA) 以進一步提升安全性。

授權(quán)

除了必要的身份驗證之外，還需要所有用戶和服務(wù)帳戶必須具有授權(quán)，這也是零信任安全的一個關(guān)鍵原則。為了保持強健的安全性，所有的用戶操作都應(yīng)該受到限制，即使在身份驗證之后也是如此。換句話說就是不允許用戶不受限制的執(zhí)行所有任務(wù)，而是要先授予他們足夠的訪問權(quán)限，然后來完成他們要執(zhí)行的任務(wù)。

當(dāng)談到零信任Kubernetes時，所有訪問Kubernetes集群的用戶和服務(wù)帳戶都不應(yīng)該被允許執(zhí)行任何操作。相反 Kubernetes 的請求只有在用戶(通過身份認(rèn)證)有執(zhí)行請求任務(wù)的明確授權(quán)時才被允許執(zhí)行。因此每個請求都應(yīng)該指定請求者的用戶名、被請求的操作以及該操作的效果。

準(zhǔn)入控制

保持對所有用戶和操作的可見性是零信任模型的另一個重要支柱。這就是為什么準(zhǔn)入控制器成為了 Kubernetes 零信任架構(gòu)的關(guān)鍵組件。使用準(zhǔn)入控制器后，組織就可以管理所有的要創(chuàng)建、修改、刪除或連接到Kubernetes 對象的請求。內(nèi)置準(zhǔn)入控制器可以協(xié)助組織實施操作并執(zhí)行其策略，而動態(tài)準(zhǔn)入控制器可以允許他們實時修改請求。至于更細致的安全控制方法，就是在系統(tǒng)中使用多個準(zhǔn)入控制器，而且許多控制器是與 Kubernetes 部署相兼容的，例如 ResourceQuota 和 LimitRanger。

審計和日志

無論哪種安全態(tài)勢，審計都是其彈性的基本組成部分。審計允許組織監(jiān)控在 Kubernetes 集群中那些由用戶、應(yīng)用程序甚至控制層面執(zhí)行的所有操作。然后，由團隊決定在哪里記錄這些審計事件，可以保存在本地文件系統(tǒng)或外部日志系統(tǒng)中。適當(dāng)?shù)膶徲嫼腿罩居涗浽诖_保 Kubernetes 基礎(chǔ)設(shè)施符合政府的政策方面也發(fā)揮著關(guān)鍵作用。所以在不同的組織、機構(gòu)和平臺中，零信任安全正成為決定網(wǎng)絡(luò)安全健康的關(guān)鍵角色，Kubernetes當(dāng)然也不例外。

譯者介紹

胥磊，cdcxhl.com社區(qū)編輯，某頭部電商技術(shù)副總監(jiān)，關(guān)注Java后端開發(fā)，技術(shù)管理，架構(gòu)優(yōu)化，分布式開發(fā)等領(lǐng)域。

原文標(biāo)題：??Zero Trust Infrastructure for Kubernetes???，作者：Meredith Shubel?

名稱欄目：Kubernetes的零信任基礎(chǔ)架構(gòu)
網(wǎng)址分享：http://www.dlmjj.cn/article/djepipi.html