日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

現(xiàn)代 IT 環(huán)境日益動(dòng)態(tài)化。例如，Kubernetes 正在突破許多 IT 組織的可能性。

湄潭ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書(shū)銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書(shū)合作）期待與您的合作！

開(kāi)源技術(shù)在自動(dòng)化容器化應(yīng)用程序的部署、可擴(kuò)展性和管理方面的很多好處。特別是，IT 團(tuán)隊(duì)正在利用其強(qiáng)大的功能、效率和靈活性來(lái)快速開(kāi)發(fā)現(xiàn)代應(yīng)用程序并完成大規(guī)模交付。

然而，在 Kubernetes 環(huán)境中強(qiáng)化安全實(shí)踐的過(guò)程是一個(gè)日益嚴(yán)峻的挑戰(zhàn)。隨著越來(lái)越多的開(kāi)發(fā)和生產(chǎn) Kubernetes 集群分布在本地?cái)?shù)據(jù)中心、多個(gè)公共云提供商和邊緣位置，這種相對(duì)較新的動(dòng)態(tài)操作模型為訪問(wèn)控制帶來(lái)了極大的復(fù)雜性。

由于大多數(shù)團(tuán)隊(duì)都有在多個(gè)區(qū)域運(yùn)行的多個(gè)集群的場(chǎng)景——通常具有不同的分布和管理界面——企業(yè) IT 需要考慮到需要不同級(jí)別訪問(wèn)權(quán)限的開(kāi)發(fā)人員、運(yùn)營(yíng)人員、承包商和合作伙伴團(tuán)隊(duì)。

鑒于 Kubernetes 的分布式和擴(kuò)展性，IT 必須盡一切可能確保訪問(wèn)安全，以避免正在發(fā)生的錯(cuò)誤。下面，我們將看看如何應(yīng)用 Kubernetes 零信任原則來(lái)保護(hù)整個(gè)環(huán)境，如何為容器提供零信任安全性。

Kubernetes 集群的零信任訪問(wèn)

假設(shè)在網(wǎng)絡(luò)中和網(wǎng)絡(luò)之間訪問(wèn)的所有人員、系統(tǒng)和服務(wù)都是不可信的安全模型，零信任正在成為防止惡意攻擊的最佳技術(shù)?；谏矸蒡?yàn)證、授權(quán)和加密技術(shù)，零信任的目的是不斷驗(yàn)證安全配置和狀態(tài)，以確?？绛h(huán)境的可信。

以下是對(duì) Kubernetes 工作原理的基本了解：

• 每個(gè)集群的 Kubernetes 控制平面的核心是 Kubernetes API Server。
• API Server 用于查詢和操作所有 Kubernetes 對(duì)象的狀態(tài)。
• Kubernetes 資源對(duì)象包括命名空間、pod、配置映射等。

控制對(duì) API Server 的訪問(wèn)是管理 Kubernetes 訪問(wèn)和實(shí)現(xiàn)零信任的關(guān)鍵功能。保護(hù)對(duì) Kubernetes 集群的訪問(wèn)的第一步是使用傳輸層安全性 (TLS) 保護(hù)進(jìn)出 API Servre 的流量。

實(shí)現(xiàn)零信任的 API 服務(wù)器最佳實(shí)踐：

• 隨處啟用 TLS。
• 使用 API Server 的專用端點(diǎn)。
• 對(duì) API Server 使用第三方身份驗(yàn)證。
• 關(guān)閉 API Server 的防火墻入站規(guī)則，確保它被隱藏并且不能從 Internet 直接訪問(wèn)。

在保護(hù)傳輸層之后，Kubernetes 還包括必要的鉤子來(lái)實(shí)現(xiàn)零信任和控制每個(gè) Kubernetes 集群的 API Server 訪問(wèn)。這些鉤子代表了 Kubernetes 強(qiáng)化安全態(tài)勢(shì)的四個(gè)關(guān)鍵領(lǐng)域：

• 驗(yàn)證
• 授權(quán)
• 準(zhǔn)入控制
• 記錄和審計(jì)

Kubernetes 身份驗(yàn)證

在零信任的情況下，所有與 Kubernetes 集群相關(guān)的用戶級(jí)和面向服務(wù)的帳戶都必須在執(zhí)行 API 調(diào)用之前進(jìn)行身份驗(yàn)證。Kubernetes 可以廣泛使用安全模塊和插件，以確保該平臺(tái)能夠通過(guò)團(tuán)隊(duì)首選的身份驗(yàn)證系統(tǒng)有效運(yùn)行：

• HTTP 基本身份驗(yàn)證
• 身份驗(yàn)證代理（支持 LDAP、SAML、Kerberos 等）
• 客戶證書(shū)
• 不記名令牌
• OpenID Connect 令牌
• Webhook 令牌授權(quán)

身份驗(yàn)證的常見(jiàn)最佳實(shí)踐包括啟用至少兩種身份驗(yàn)證方法（多因素身份驗(yàn)證或 MFA）和定期輪換客戶端證書(shū)。

對(duì) Kubernetes 的授權(quán)

必須允許每個(gè)具有身份驗(yàn)證訪問(wèn)權(quán)限的用戶或服務(wù)帳戶在 Kubernetes 集群中執(zhí)行任何可能的操作。零信任的想法是，只有經(jīng)過(guò)身份驗(yàn)證的用戶具有完成所請(qǐng)求操作的必要權(quán)限，才能授權(quán)請(qǐng)求。對(duì)于發(fā)出的每個(gè)請(qǐng)求，此模型將需要指定 Kubernetes 集群中的用戶名、操作和受影響的對(duì)象。

Kubernetes 支持多種授權(quán)方法，包括：

• 基于屬性的訪問(wèn)控制 (ABAC) 根據(jù)用戶、環(huán)境和資源屬性的組合動(dòng)態(tài)地授權(quán)訪問(wèn)。
• 基于角色的訪問(wèn)控制或 RBAC，根據(jù)用戶在組織中的角色（例如開(kāi)發(fā)人員、管理員、安全人員等）授權(quán)訪問(wèn)。

組織最常使用 RBAC，因?yàn)樗膶?shí)用性允許更輕松的管理控制并提供大多數(shù)用例所需的粒度。在行業(yè)內(nèi)，以最低權(quán)限啟用 RBAC 是很常見(jiàn)的。

ABAC 可以提供額外的粒度，但需要額外的時(shí)間和資源來(lái)正確定義和配置。但是，使用 ABAC 方法解決問(wèn)題可能更具挑戰(zhàn)性。因此，通常以最低權(quán)限啟用 RBAC。

Kubernetes 準(zhǔn)入控制

準(zhǔn)入控制器提供了一種實(shí)現(xiàn)業(yè)務(wù)邏輯的方法，以改進(jìn) Kubernetes 的零信任方法。準(zhǔn)入控制器的目的是使系統(tǒng)能夠自動(dòng)處理創(chuàng)建、修改、刪除或連接到 Kubernetes 對(duì)象的請(qǐng)求。可能需要啟用多個(gè)準(zhǔn)入控制器以滿足您組織的需求，如果其中任何一個(gè)拒絕特定請(qǐng)求，系統(tǒng)也會(huì)自動(dòng)拒絕它。

當(dāng)今可用的各種內(nèi)置準(zhǔn)入控制器為團(tuán)隊(duì)提供了許多用于執(zhí)行策略和實(shí)施各種操作的選項(xiàng)。動(dòng)態(tài)控制器可以快速修改請(qǐng)求以遵守已建立的規(guī)則集。例如，ResourceQuota 準(zhǔn)入控制器觀察傳入的請(qǐng)求并確保它們不違反已在命名空間的 ResourceQuota 對(duì)象中列出的約束。

Kubernetes 的日志記錄和審計(jì)

審計(jì)功能提供了集群內(nèi)執(zhí)行的操作的跟蹤記錄，這對(duì)于 Kubernetes 安全態(tài)勢(shì)至關(guān)重要。這些功能可以跟蹤任何用戶、應(yīng)用程序和控制平面本身的任何操作。

有四種不同類型的審計(jì)級(jí)別：

• 無(wú) – 不記錄此事件
• 元數(shù)據(jù) – 記錄請(qǐng)求元數(shù)據(jù)
• 請(qǐng)求 - 記錄事件元數(shù)據(jù)和請(qǐng)求
• RequestResponse – 記錄事件元數(shù)據(jù)、請(qǐng)求和響應(yīng)

除了指定審計(jì)級(jí)別之外，團(tuán)隊(duì)還可以控制記錄審計(jì)事件的位置。當(dāng)日志后端將事件寫(xiě)入集群的本地文件系統(tǒng)時(shí)，webhook 后端會(huì)將審計(jì)事件發(fā)送到外部日志系統(tǒng)。

擴(kuò)展零信任架構(gòu)

雖然上述不同的方法和實(shí)踐提供了創(chuàng)建零信任環(huán)境的能力，但當(dāng) Kubernetes 的足跡擴(kuò)展到幾個(gè)集群之外時(shí)，正確配置和對(duì)齊這些單獨(dú)的元素成為一個(gè)更重大的挑戰(zhàn)。當(dāng)涉及多個(gè)工作負(fù)載和 Kubernetes 分布時(shí)，事情會(huì)變得特別復(fù)雜。這一挑戰(zhàn)并不新鮮，但如今已為許多公司所共有。

例如，讓我們考慮一個(gè)場(chǎng)景，一家公司管理著 100 個(gè) Kubernetes 集群——從開(kāi)發(fā)到 QA 到預(yù)生產(chǎn)再到生產(chǎn)——并且這些集群需要在地理位置上靠近其全球客戶群，以便應(yīng)用程序能夠處理實(shí)時(shí)視頻和音頻數(shù)據(jù)。

在確保用戶安全訪問(wèn) Kubernetes 集群方面，該公司可能會(huì)遇到三個(gè)問(wèn)題：

• 假設(shè)這家公司有幾百名開(kāi)發(fā)人員和幾十名 IT 運(yùn)維人員，手動(dòng)在每個(gè)集群中添加和刪除用戶的艱巨任務(wù)會(huì)產(chǎn)生比解決的問(wèn)題更多的問(wèn)題。
• 如果發(fā)生緊急事件，補(bǔ)救所需的時(shí)間至關(guān)重要。如果訪問(wèn)方法讓那些對(duì)問(wèn)題進(jìn)行故障排除的人只需要幾分鐘才能登錄到受影響的集群，那么問(wèn)題可能會(huì)成倍增加。
• 由于日志數(shù)據(jù)分布在 100 個(gè)集群中，因此可能無(wú)法全面了解審計(jì)和合規(guī)性報(bào)告。

平臺(tái)團(tuán)隊(duì)的注意事項(xiàng)

企業(yè)平臺(tái)團(tuán)隊(duì)的眾多目標(biāo)之一是幫助全球分布的 IT 團(tuán)隊(duì)從一個(gè)中心位置管理其所有集群中的用戶訪問(wèn)。其目的是有效地保護(hù)和管理對(duì) Kubernetes 基礎(chǔ)設(shè)施的訪問(wèn)，同時(shí)使審計(jì)日志記錄和合規(guī)性報(bào)告更加簡(jiǎn)單。

平臺(tái)團(tuán)隊(duì)?wèi)?yīng)考慮為 Kubernetes 實(shí)施零信任，以確保應(yīng)用和實(shí)施前面描述的最佳實(shí)踐來(lái)保護(hù)整個(gè) Kubernetes 環(huán)境。通過(guò)消除在每個(gè)集群上手動(dòng)應(yīng)用最佳實(shí)踐的需要，IT 組織可以以更低的風(fēng)險(xiǎn)大規(guī)模運(yùn)行 Kubernetes。

在為 Kubernetes 設(shè)計(jì)零信任時(shí)，平臺(tái)團(tuán)隊(duì)需要考慮以下三個(gè)好處：

• 使 RBAC 超靈活：如果團(tuán)隊(duì)成員更改角色，訪問(wèn)權(quán)限應(yīng)自動(dòng)更新，這樣任何人都不會(huì)擁有過(guò)多或過(guò)少的訪問(wèn)權(quán)限。
• 快速和簡(jiǎn)化可訪問(wèn)性：通過(guò)安全的單點(diǎn)登錄為授權(quán)用戶提供無(wú)縫訪問(wèn)，從而消除對(duì)任何集群的延遲訪問(wèn)。
• 即時(shí)場(chǎng)景的憑據(jù)：授權(quán)用戶的服務(wù)帳戶應(yīng)在具有“即時(shí)”訪問(wèn)權(quán)限的遠(yuǎn)程集群上創(chuàng)建，并在用戶注銷后自動(dòng)刪除，從而消除憑據(jù)過(guò)期的機(jī)會(huì)。

一兩個(gè)集群時(shí)并不會(huì)存在明顯的安全風(fēng)險(xiǎn)，但隨著 Kubernetes 集群和容器化應(yīng)用程序數(shù)量的增加。因此，平臺(tái)團(tuán)隊(duì)需要在其整個(gè) Kubernetes 基礎(chǔ)架構(gòu)中為集群和應(yīng)用程序啟用集中的企業(yè)級(jí)安全和控制。

文章題目：Kubernetes集群零信任訪問(wèn)架構(gòu)設(shè)計(jì)
新聞來(lái)源：http://www.dlmjj.cn/article/dpdsphe.html