ظروف و Kubernetes می تواند کمک به امنیت حتی به عنوان چاله ها باقی می ماند


ما گزارش عمق: راهنمای نهایی برای تکنولوژی فناوری اطلاعات فروشندگان امنیت

ظرف است به طور فزاینده استفاده می شود توسط سازمان به عنوان یک راه برای استقرار برنامه های کاربردی و سرویس های میکرو. وعده ظروف بهبود چابکی و قابلیت حمل، در حالی که همچنین به طور بالقوه کاهش سطح حمله است. هر چند ظرف تکنولوژی می تواند مفید باشد برای امنیت، آن نیز می تواند مجموعه خود را از خطرات را داشته باشد.

در جلسه پانل در Kubecon اخیر + CloudNativeCon اروپا رویداد با عنوان “امنیت نرم افزار مدرن ظروف نیاز به” کارشناسان امنیتی – تعدیل توسط eSecurity سیاره – از پروژه ابر بومی محاسبات پایه (CNCF) و گوگل بحث چه اشتباه است و آنچه حق با ظرف امنیت است.

که تا چشم انداز ظرف را درک و Kubernetes Docker

مهم است به درک لایه های متعدد و قطعات. در ابتدایی ترین سطح ظرف است که امروز به طور معمول ظرف Docker است که برنامه virtualized است که بر روی موتور ظرف زمان اجرا اجرا می شود.

بیش از یک ظرف را در یک زمان در حال اجرا، نیاز به سیستم ارکستراسیون ظرف که چه Kubernetes را فراهم می کند وجود دارد. پروژه منبع باز است که آغاز شده گوگل که چهار سال پیش، Kubernetes است و هم اکنون توسط بنیاد محاسبات ابر بومی میزبانی.

پروژه های امنیتی CNCF

Kubernetes در حالی که فراهم چارچوب اصلی ظرف ارکستراسیون، تلاش های چندین CNCF اضافی که می تواند کمک به بهبود Kubernetes در راه های مختلف وجود دارد. در مقابل امنیت میان پروژه ها عامل سیاست باز و دفتر اسناد رسمی (برای امضای دستورات برنامه) و بروز چارچوب (برای به روز رسانی امن) و SPIFFE (چارچوب هویت از تولید در امن) است. https://o1.qnsr.com/log/p.gif?;

= CNCF نه دستور و یا تجویز معماری مرجع برای Kubernetes و استقرار پروژه های مرتبط. با این حال، جاستین Cappos، استاد علوم کامپیوتر و مهندسی در دانشگاه نیویورک و رهبر پروژه TUF گفت: پروژه های مختلف تمایل به برقراری ارتباط با یکدیگر.

Torin Sandall سرب فنی پروژه عامل سیاست باز (اوپا) منبع باز گفت: کارگروه سیاست در جامعه Kubernetes است که به دنبال در آوردن با هم بسیاری از سیاست های مختلف برای مدیریت منابع امنیتی وجود دارد.

“در حال حاضر، بسیاری از این اطلاعات فقط پایین جایی نوشته شده است و هیچ کس می داند که چگونه به هم گره,” گفت: Sandall.

دیوید لورنس رهبر تیم امنیتی که شرکت Docker گفت بسیاری از شرکت های امنیتی در بازار امروز وجود دارد و بسیاری مختلف باز کردن پروژه های منبع برای امنیت بیش از حد.

“در برخی از نقطه شما باید تصمیم بگیرند در ترکیب مناسبی از پروژه ها و مردم اطراف آنهایی اصلی جمع آوری خواهد شد,” لارنس گفت. “سپس خواهیم دید که در واقع برخی از این یکپارچگی گرد هم می آیند و ما بیشتر از چیزهایی است که طراحی شده تا با هم به برق وصل کردن در سراسر فضا را ببینید من فکر می کنم.”

آنچه از دست رفته

با وجود تمام پروژه های امنیتی CNCF Kubernetes Kaczorowski مایا، مدیر تولید در گوگل، گفت: هنوز هم بسیاری از عناصر اساسی امنیتی است که نیاز به بیشتر Kubernetes در خود دارد.

“بسیاری از کار که هنوز هم باید از دیدگاه مدیریت امنیت اساسی به عنوان یک کاربر انجام می شود وجود دارد,” گفت: Kaczorowski. “اگر شما یکی از افراد نشسته در این اتاق که می خواهد به صرف زمان امنیتی جامعه نحوه یادگیری نیست حال حاضر بسیار قابل استفاده نیست.”

“ما کاربران فقط رفتن به استقرار آن انتظار نیست و آن را به امن باشد” Kaczorowski اضافه شده.

اندرو Jessup، موسس شرکت Scytale و رهبر پروژه SPIFFE موافقت با Kaczorowski که نیاز اساسی امنیت Kubernetes از جمله رمزگذاری مناسب و خوشه کنترل دسترسی، در محل توسط کاربران اول قرار داده شود.

“بهتر قفل گذاشتن روی درب نمی کند به شما کمک کند اگر شما درب هر شب ترک,” گفت: Jessup. “هست که کل مجموعه های پایه نگرانی های خود را در اطراف بهداشت Kubernetes است که شما احتمالا می خواهید برای حل” رک و پوست کنده، اول قبل از فکر کردن در مورد برخی از این پروژه های سطح بالاتر است که اضافه کردن مقدار زیادی از ارزش، اما نه در چارچوب ناامن. ”

امنیت پیش فرض یک هدف

یکی از عناصر از بین رفته در Kubernetes بر اساس Docker لارنس, امنیت بیشتر پیش فرض است. لارنس هک فوریه 2018 فروشنده خودرو الکتریکی تسلا خوشه Kubernetes به عنوان مثال چرا Kubernetes ناامن به طور پیش فرض است اغلب ذکر شده. در هک تسلا پاسخ پیش فرض Kubernetes باز نصب با پورت TCP به اینترنت مستقر. مهاجم سپس خوشه دسترسی و شروع cryptocurrency معدن در آن بود.

“وجود حداقل یک گام است کاربر را به آن را به ناامن حق?” لارنس گفت. “به طور پیش فرض، من فکر می کنم امروز هنگام رفتن و استقرار Kubernetes شما فشار دکمه ناامن است.”

دفاع در عمق

در حالی که Kubernetes در حال حاضر نه ممکن امن پیش فرض بسیاری از نکات مثبت این ظروف وجود دارد و اضافه کردن Kubernetes به امنیت. لارنس گفت: ظروف کاهش دامنه از آنچه با تلاش سازمان ها برای کنترل و اجازه می دهد که سازمان ها برای اعمال سیاست دفاع در عمق بسیار مناسب است.

ظروف در ابتدایی ترین سطح ارائه مرز انزوا محدود و درجه بالایی از کنترل. Jessup گفت که به نظر او صنعت ظرف هم اکنون در مکان بسیار بهتر شروع به مکالمه سطح بالاتر در مورد چگونگی بهبود گسترده امنیتی است.

در حالی که ظروف برخی از مزایای امنیتی، Kaczorowski تاکید کنترل امنیتی موجود برای شبکه و امنیت نرم افزار هنوز هم نقش بازی بیش از حد. او گفت که در حالی که ظروف مختلف از ماشین های مجازی (VMs)، راه های بسیاری از آنها به طور یکسان بیش از حد وجود دارد.

“اگر پلیس عراقی (سیستم پیشگیری از نفوذ) برای محیط پیش فرض برای شما VMs است شما هنوز هم نیاز یکی برای ظروف خود را،” گفت: Kaczorowski. “هنوز هم فایروال لازم است; که دور نمی رود.”

چه با ظروف، با توجه به Kaczorowski، تغییر نرم افزار عرضه مسائل زنجیره ای هستند. در گذشته، سازمان جعبه را از فروشنده است که گواهی و حمایت فروشنده خریداری. با برنامه های کاربردی ظرف کد از منابع بی شمار کشیده بودن و همیشه که همه چیز می آید از روشن نیست.

“من فکر می کنم ما در حال رفتن به صرف زمان بسیار بیشتری را به عنوان یک صنعت در نرم افزار زنجیره تامین است که چرا چیزهایی مانند TUF و دفتر اسناد رسمی, که کمک به امن که جنبه می بینید او گفت:.

به زودی در eSecurity سیاره: راهنمای جامع به ظرف امنیت فروشندگان.

شان مایکل Kerner سردبیر ارشد در eSecurityPlanet و InternetNews.com است. او به دنبال در توییتر @TechJournalist.

.